Comprendiendo el Orden de Volatilidad ante un incidente de Ciberseguridad

Una Guía Esencial para Equipos de Respuesta a Incidentes de Ciberseguridad.

Vamos a comenzar por ejemplificar de qué se trata esto del Orden de Volatilidad con un ejemplo práctico:

Si un intruso entrara en una oficina desordenada y empezara a revolver entre los papeles buscando información valiosa. Imagina que esta oficina es tu computadora, y cada papel es un tipo de dato. Algunos de estos papeles están en el escritorio (memoria RAM), otros en cajones (procesos en ejecución) y algunos más están guardados en archivadores (disco duro). Si sospechas que alguien ha entrado en la oficina, tu prioridad sería proteger los papeles más expuestos y fáciles de cambiar o desaparecer, como los que están sobre el escritorio.

Este ejemplo refleja la importancia del "orden de volatilidad" en la seguridad informática, un principio crucial cuando se trata de investigar y responder a incidentes cibernéticos.

Entonces, el orden de volatilidad es una lista de prioridades que los expertos en seguridad siguen para recolectar datos de un sistema informático de forma que se capture la información más frágil primero. Este concepto es vital porque algunos datos cambian o desaparecen rápidamente una vez que el sistema se altera o se apaga.

En el mundo de la ciberseguridad, especialmente durante una respuesta a incidentes, la comprensión y la aplicación del "orden de volatilidad" es crucial para preservar evidencia valiosa y asegurar una investigación eficaz.

El "orden de volatilidad" es un concepto destacado en el RFC-3227, una de las guías fundacionales que establece directrices para la recolección de evidencia en entornos informáticos.

Pues, lo veremos a continuación:

¿Qué es el Orden de Volatilidad?

Se refiere a la secuencia en la que los datos deben ser recogidos durante una investigación forense digital para asegurar que la información más susceptible a la pérdida se preserve antes de que los datos más estables.

Según el RFC-3227, el orden recomendado es el siguiente:

1. Contenido de la memoria volátil: Esto incluye la RAM del sistema, donde reside la información sobre procesos en ejecución, conexiones de red abiertas, y la data en el portapapeles, entre otros.

2. Estado de la red: Las tablas de enrutamiento, las sesiones ARP, las conexiones activas, y las estadísticas de red son vitales y pueden cambiar rápidamente.

3. Procesos en ejecución y servicios: Obtener detalles sobre los procesos activos y los servicios del sistema puede ayudar a identificar actividades maliciosas o inusuales.

4. Archivos de datos del sistema: Esto incluye registros de eventos y otros archivos de configuración que pueden ofrecer pistas sobre la causa y la naturaleza del incidente.

5. Datos remanentes: Finalmente, los datos almacenados en medios de almacenamiento permanente como discos duros y backups se recogen, ya que son menos propensos a alteraciones inmediatas.
   

Aplicación Práctica en un CIRT

Para un equipo de respuesta a incidentes de ciberseguridad (CIRT), aplicar correctamente el orden de volatilidad significa actuar con rapidez y precisión. Desde el momento en que se detecta un incidente, el reloj comienza a correr. Los primeros pasos incluyen:

• Seguridad de la Memoria: Utilizar herramientas especializadas para hacer imágenes de la memoria del sistema comprometido antes de apagar o reiniciar cualquier equipo. Esto captura información en su estado más "volátil".

• Documentación de la Red: Registrar el estado de la red es crítico antes de que cualquier cambio de configuración o desconexión de red tenga lugar.

• Análisis de Procesos y Servicios: Revisar y documentar todos los procesos activos y servicios antes de que puedan ser detenidos o modificados por procedimientos de mitigación.
  

El equipo debe manejar estas tareas de manera sistemática y coordinada para evitar la pérdida de datos forenses clave. Además, la documentación exhaustiva durante todo el proceso es fundamental para asegurar que la evidencia recogida sea admissible en un contexto legal, si fuera necesario.

Conclusión

El conocimiento del orden de volatilidad y su correcta implementación por parte de los equipos de respuesta a incidentes no solo mejora las posibilidades de entender completamente la naturaleza de un incidente de seguridad, sino que también maximiza la recuperación de datos útiles para futuras medidas de prevención y posibles procedimientos legales. Al seguir estas prácticas, los equipos pueden asegurarse de que están equipados para manejar incidentes de manera efectiva y profesional.