El análisis forense en cloud es un proceso de investigación y recolección de evidencia digital que se enfoca en los recursos, datos y servicios alojados en entornos de computación en la nube. Desde esta perspectiva, un análisis forense en la nube implica examinar de manera sistemática y detallada los registros, metadatos, archivos y actividades almacenadas en la infraestructura de la nube para descubrir y documentar cualquier actividad sospechosa o incidente de seguridad.
En el contexto del cloud, el análisis forense implica consideraciones únicas, como la naturaleza distribuida y compartida de los recursos, la dependencia de los proveedores de servicios en la nube y la complejidad de las arquitecturas de red.
ABC
La cadena de custodia es un concepto fundamental en el análisis forense, incluido el análisis forense en entornos cloud. Se refiere al proceso documentado y controlado de recopilación, manejo y preservación de evidencia digital desde el momento en que es descubierta hasta que es presentada en un tribunal u otro contexto legal.
Planificación con enfoque en la cadena de custodia: Desde el inicio del proceso de análisis forense en entornos cloud, se debe prestar especial atención a la preservación de la cadena de custodia. Esto implica identificar los puntos críticos donde se pueden introducir cambios en la evidencia y desarrollar procedimientos específicos para mitigar estos riesgos.
Identificación de fuentes de evidencia con documentación detallada: Cada fuente de evidencia digital en la nube debe ser identificada y documentada cuidadosamente, incluyendo información sobre su ubicación, fecha y hora de descubrimiento, y cualquier otro detalle relevante. Esta documentación es crucial para establecer la cadena de custodia de manera efectiva.
Preservación adecuada de la evidencia: Durante la recopilación de evidencia digital en la nube, es esencial garantizar su preservación adecuada para mantener la integridad de la cadena de custodia. Esto puede implicar el uso de técnicas de adquisición forense que no alteren los datos originales y la aplicación de controles de acceso para evitar modificaciones no autorizadas.
Registro detallado de todas las acciones realizadas: Cada paso del proceso de análisis forense debe ser registrado de manera exhaustiva, incluyendo quién realizó cada acción, cuándo y por qué. Esto proporciona una trazabilidad completa de la evidencia y ayuda a demostrar la integridad de la cadena de custodia en caso de disputa legal.
Seguridad de la evidencia durante el análisis: Durante el análisis de la evidencia digital en la nube, es fundamental garantizar que se mantenga segura y protegida en todo momento. Esto puede incluir el uso de técnicas de cifrado para proteger los datos sensibles y la implementación de medidas de control de acceso para prevenir el acceso no autorizado.
Documentación completa en el informe forense: En el informe final del análisis forense, se debe incluir una sección dedicada a la cadena de custodia, que detalle todos los pasos tomados para preservar la integridad de la evidencia digital. Esto proporciona transparencia y credibilidad al proceso forense.
Mantenimiento de registros y archivos durante el proceso legal: Si la evidencia recopilada en el análisis forense se presenta en un tribunal u otro contexto legal, es necesario mantener registros detallados de todos los procedimientos y acciones relacionadas con la cadena de custodia. Esto puede incluir la presentación de testimonios de expertos forenses para respaldar la integridad de la evidencia y la cadena de custodia.
Resumen de AWS Forense:
Para contextualizar, el diagrama muestra la cuenta Security Tooling para representar los servicios de AWS que se utilizan para proporcionar detección o notificaciones en la cuenta de análisis forense.
La cuenta forense es un tipo de cuenta de herramientas de seguridad independiente y dedicada que se encuentra dentro de la unidad organizativa de seguridad. El objetivo de la cuenta forense es proporcionar una sala limpia estándar, preconfigurada y repetible para permitir que el equipo forense de una organización implemente todas las fases del proceso forense: recopilación, examen, análisis e informes. Además, en esta cuenta también se incluye el proceso de cuarentena y aislamiento de los recursos incluidos dentro del ámbito.
Contener todo el proceso forense en una cuenta independiente le permite aplicar controles de acceso adicionales a los datos forenses que se recopilan y almacenan. Se recomienda separar las cuentas forense y Security Tooling por los siguientes motivos:
Los recursos forenses y de seguridad pueden estar en equipos diferentes o tener permisos diferentes.
La cuenta Security Tooling puede tener una automatización que se centre en responder a los eventos de seguridad en el plano de control de AWS, como habilitar el Bloqueo de acceso público de Amazon S3 para los buckets de S3, mientras que la cuenta forense también incluye artefactos del plano de datos de AWS de los que el cliente podría ser responsable, como el sistema operativo (SO) o datos específicos de la aplicación dentro de una instancia EC2.
Es posible que necesite implementar restricciones de acceso o suspensiones legales adicionales en función de sus requisitos organizativos o normativos.
El proceso de análisis forense puede requerir el análisis de códigos maliciosos, como el malware, en un entorno seguro de conformidad con los términos de servicio de AWS.
La cuenta forense debe incluir la automatización para acelerar la recopilación de pruebas a escala y, al mismo tiempo, minimizar la interacción humana en el proceso de recopilación forense. La automatización de los recursos de respuesta y cuarentena también se incluiría en esta cuenta para simplificar los mecanismos de seguimiento y presentación de informes.
Las capacidades forenses descritas en esta sección deben implementarse en todas las regiones de AWS disponibles, incluso si su organización no las utiliza activamente. Si no planea usar regiones de AWS específicas, debe aplicar una política de control de servicio (SCP) para restringir el aprovisionamiento de los recursos de AWS. Además, mantener las investigaciones y el almacenamiento de los artefactos forenses en la misma región ayuda a evitar problemas con el cambiante panorama normativo de la residencia y propiedad de los datos.
En esta guía, se utiliza la cuenta de registro de archivos, tal como se describió anteriormente, para registrar las acciones realizadas en el entorno a través de las API de AWS, incluidas las API que se ejecutan en la cuenta forense. Tener dichos registros puede ayudar a evitar acusaciones de mal manejo o manipulación de artefactos. Según el nivel de detalle que habilite (consulte Registro de eventos de administración y Registro de eventos de datos en la documentación de AWS CloudTrail), los registros pueden incluir información sobre la cuenta utilizada para recopilar los artefactos, la hora en que se recopilaron los artefactos y las medidas adoptadas para recopilar los datos. Al almacenar artefactos en Amazon S3, también puede utilizar controles de acceso avanzados e información de registro sobre quién tenía acceso a los objetos. Un registro detallado de acciones permite a otros usuarios repetir el proceso más adelante si es necesario (siempre que los recursos incluidos en el ámbito sigan disponibles).
Análisis forense digital y equipos de Windows 365 Enterprise Cloud
Al igual que los dispositivos físicos, Windows 365 Enterprise equipos en la nube se pueden implementar, proteger y administrar mediante Microsoft Intune. Como parte de la propiedad de un equipo, es posible que se le pida que envíe equipos de Cloud a terceros o personal interno para realizar análisis forenses digitales. El análisis forense digital es la ciencia que aborda la recuperación y la investigación de datos digitales para apoyar investigaciones criminales o procedimientos civiles.
Para admitir estos análisis forenses, Windows 365 ofrece la capacidad de enviar un equipo de Cloud a revisión. Esta acción guardará de forma segura una instantánea del equipo de Cloud en la cuenta de Azure Storage del cliente. Cuando se transfiere a esa cuenta, el cliente tiene la propiedad completa de la instantánea. Para que la instantánea sea evidente, el cliente debe crear un hash de archivo de la instantánea en cuanto se haya guardado en la cuenta de Azure Storage.
Los investigadores pueden adjuntar copias de disco de la instantánea del equipo de Cloud y transferirla a una cuenta de almacenamiento segura dedicada al análisis forense. Este proceso se puede realizar sin tener que volver a crear o encender el equipo de Cloud de origen ni acceder a él.
