Las compañías dentro de su estrategia de transformación digital están migrando sus servicios desde un modelo On-premise hacia la computación en la nube. Esta adopción les permite el alojamiento de software y aplicaciones corporativas en una infraestructura flexible, ágil y escalable, ahorrando tiempo y recursos debido a su capacidad para desplegar, acceder y administrar los recursos de TI.
Sin embargo, esta migración abre la puerta a nuevas amenazas y delitos informáticos. Por esta razón se deben reforzar los procesos de respuesta a incidentes adaptándolos a las tecnologías de la nube.
Mientras que el proceso de respuesta a incidentes busca llegar a la recuperación y a la normalidad de la operación, el análisis forense permite identificar las causas del incidente, establecer medidas de mitigación y en caso de ser necesario, iniciar procesos jurídicos. El análisis forense parte de la recolección de evidencia que debe ser analizada garantizando su preservación para que sea admisible ante una corte.
En la nube particularmente, un proceso de análisis forense puede ser un poco más complicado, debido a la dispersión y movilidad de los datos. Si bien, el investigador forense sigue los mismos métodos que en el análisis forense digital tradicional, el proceso puede llegar a complicarse ya que la evidencia puede estar dispersa en varias ubicaciones dependiendo de la infraestructura de un proveedor de servicios de nube (CSP); lo que además puede impactar su admisibilidad legal.
Lo anterior, plantea algunos retos que podemos clasificar en los niveles legal, organizacional y técnico. Las compañías deberán asumir estos retos estableciendo las mejores prácticas para no pasar por alto ninguno, cuando sea necesario un proceso de análisis forense en nube.
Surge entonces la pregunta de ¿Cómo pueden prepararse las compañías para un proceso de análisis forense en nube? A continuación, les contamos 5 recomendaciones para esta preparación:
1. Definir aspectos forenses en la estrategia de aseguramiento en nube
A nivel organizacional se recomienda implementar una estrategia de gobierno de nube en donde se definan controles adecuados que soportados en lineamientos, procesos, prácticas y tecnología permitan la gestión efectiva y continua de riesgos y la cooperación entre la compañía y el CSP. Dentro de esta estrategia se debe contemplar:
- Definir requerimientos contractuales y legales estableciendo claramente las responsabilidades del proveedor de servicios de nube (CSP) y de la compañía a través del modelo de responsabilidad compartida. Deben incluirse cláusulas de capacidad para recopilar información, jurisdicción aplicable, obligaciones de comunicación y periodos de retención.
- Definir una estructura organizacional clara de roles y responsabilidades involucrando personal interno, CSP y cooperación externa, incluyendo Investigadores, Profesionales de IT, Gestor de incidentes, asesores legales y asistencia interna.
- Definir procedimientos que comprendan todas las actividades a desarrollar durante una investigación con un nivel de detalle suficiente para la correcta ejecución de estas.
- Definir planes de formación y sensibilización teniendo en cuenta a las partes interesadas en los servicios de nube.
2. Preparar los entornos de nube para facilitar la recolección de evidencia.
Uno de los principales retos es la identificación y recolección de la data para la investigación forense. Para garantizar un mejor proceso en estas primeras fases tenemos las siguientes recomendaciones:
A) Conocer la arquitectura e inventario de los activos en los servicios de nube le permitirá a la compañía tener mayor certeza de donde se encuentran alojados los datos e identificar rápidamente los puntos de recolección de evidencia. Existen servicios que apoyan a la estrategia de cumplimiento y aseguramiento en nube, uno de ellos es Prisma Cloud de Palo Alto que permite tener visibilidad de los activos, brechas de seguridad y brinda recomendaciones para su aseguramiento.
B) Para entornos de virtualización en la nube y en general para modelos IaaS (infraestructura como servicio) es indispensable que se garanticen tanto las, imágenes de los volúmenes de almacenamiento, copias de seguridad de los sistemas operativos, como la recolección de logs de todo el entorno de nube. Esta opción ofrece mayores garantías de integridad de las evidencias adquiridas y generalmente no provoca modificaciones en la información dentro del sistema. En general, a nivel de logs se recomienda garantizar el registro de acceso a los datos y aplicaciones, autenticaciones generadas, modificaciones realizadas, conexiones de red entre otros.
C) Dentro de los modelos PaaS (Plataformas como Servicio) y SaaS (Software como Servicio), existen herramientas capaces de obtener información directamente de los servicios prestados por el CSP, siempre que el cliente disponga de las credenciales y accesos adecuados. Estas herramientas funcionan con muchos de los servicios SaaS o PaaS más populares. Algunas de ellas son:
- Cloudtrail y CloudWatch de AWS: Ofrecen capacidades para recolección de logs de los servicios de nube de AWS.
- EventHUb de AZURE: Azure Event Hubs es una plataforma de transmisión de Big Data y un servicio de ingesta de logs, permite recolectar data relevante para una investigación forense, como AzureAD logs, Audit logs, Activity logs, Diagnostic logs, Network Watcher entre otros.
- StackDriver de Google: Ofrece Servicios integrados de monitorización, almacenamiento de registros y trazas para aplicaciones y sistemas que se ejecutan en Google Cloud y en otros entornos.
- CASB de Microsoft: Ofrece visibilidad y análisis sofisticados para identificar y responder las ciberamenazas en todos los servicios en la nube.
3. Garantizar la preservación y cadena de custodia
Una vez identificadas las evidencias es importante garantizar la preservación de los datos y cadena de custodia. Para ello deben tenerse en cuenta las siguientes recomendaciones:
- La centralización de los logs en un SIEM controlado por la compañía. Debido a la gran cantidad de datos que se deben recolectar y a las limitantes en tiempos de retención, se recomienda esta centralización, dado que las capacidades de correlación de logs permiten una supervisión más eficiente cuando el volumen de logs es muy elevado.
- Debe garantizarse el acceso y visibilidad de la información una vez que es enviada al servidor SIEM bajo el control de la compañía.
- El acceso a la información recolectada debe definirse de acuerdo con los roles y responsabilidades dentro del proceso de análisis forense.
- Independientemente de dónde se almacenen o de quién acceda a las evidencias, éstas deben conservar su integridad en todo momento. Aunque su consulta pueda realizarse sin restricciones por parte del personal debidamente autorizado, debe evitarse cualquier modificación o eliminación de la información.
- El acceso a las evidencias, tanto si se trata de logs de auditoría o de imágenes de memoria, y cualquier otro evento relevante, deben ser registrados. Aunque las evidencias no puedan ser modificadas o eliminadas, es importante saber quién las ha consultado, para dejar trazabilidad de todo el proceso de análisis forense.
4. Consideraciones sobre la fase de análisis
En la fase de análisis de evidencias no existe mucha diferencia entre entornos tradicionales y entornos en la nube. Sin embargo, están surgiendo cada vez más servicios de FaaS o DFaaS (Forensics-as-a-Service o Digital-Forensics-as-a-Service, respectivamente).
Estos servicios buscan facilitar el trabajo del investigador forense a través de un entorno seguro en donde pueden centralizar todas las evidencias en un sistema de almacenamiento, acceder a los datos y analizarlos a través de distintas interfaces de conexión.
5. Recomendaciones referentes a la elaboración del informe Forense
Una vez finalizada la investigación forense, todos los hallazgos e información relevante debe ser presentada a una audiencia objetivo.
En esta fase, aunque no hay diferencias relevantes para los entornos en la nube, se deben adicionar los siguientes elementos:
- Debe tenerse en cuenta al CSP como un destinatario más del informe forense.
- Las conclusiones deben emitirse de forma diferenciada según su destinatario y dependiendo del modelo de responsabilidad compartida definido. Es decir, debe segregarse la información que vaya a transmitirse al CSP, de forma que éste solo sea informado con aquellos datos relevantes que afecten a la parte de la infraestructura gestionada por éste. De esta manera, se garantiza que la información confidencial de la compañía no sea divulgada.
Referencias
NIST Cloud Computing Forensic Science Challenges. Disponible en: https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8006.pdf
CyberArk Delivers Cloud-Based Privileged Account Security to the Endpoint. Disponible en: https://www.cyberark.com/press/cyberark-delivers-cloud-based-privileged-account-security-to-the-endpoint/
Paloalto Networks. Prisma Cloud Threat Detection Prisma Cloud Threat Detection. Disponible en: https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/prisma-cloud-policies/prisma-cloud-threat-detection.html
Cloud Audit and Forensic. Disponible en: https://www.ismsforum.es/ficheros/descargas/cloudauditforensics2018v41544463021.pdf
Introducción al análisis forense en entornos ‘cloud’. Disponible en: https://www.redseguridad.com/especialidades-tic/cloud-y-virtualizacion/introduccion-al-analisis-forense-en-entornos-cloud_20201028.html
Cloud Forensics Basic Concepts and Tools in 2022. Disponible en: https://www.eescorporation.com/cloud-forensics-concepts-and-tools/
Cloud Forensics-A Framework for Investigating Cyber Attacks in Cloud Environment. Disponible en: https://www.sciencedirect.com/science/article/pii/S1877050916305506
