Analizar datos es el proceso de tomar la evidencia preservada en la etapa previa, y realizar un examen enfocado en responder las preguntas de la investigación. Los resultados del análisis son normalmente documentadas en un reporte formal. Esta etapa en el ciclo de vida para respuesta de incidentes es donde usualmente se invierte la mayor parte del tiempo. La organización debe decidir cual análisis realizar por si mismo, o cuales porciones si lo hubiera se tercerizan. Las tres principales áreas para el análisis de datos son:

Análisis de malware: Durante la mayoría de investigaciones se encuentra con archivos sospechosos de malware. Se debe tener un equipo dedicado al análisis de malware, quien se encargará de analizar estos archivos. Producirán reportes los cuales incluyan indicadores de compromiso, además de una descripción detallada de la funcionalidad. Aunque tener un equipo dedicado a malware no se ajusta a la mayoría de presupuestos, las organizaciones deben considerar invertir en una capacidad básica para hacer triaje a malware sospechoso.

Análisis de respuesta en vivo: El examen de los datos recolectados en la respuesta en vivo es una de las etapas más críticas del análisis durante una investigación. Si se está buscando por datos de una respuesta en vivo, esto es normalmente porque existe algún indicio de actividad sospechosa en un sistema, pero existen detalles limitados. Durante el análisis se tratará de encontrar más pistas y explicación de lo ocurrido. Si se pierden detalles en esta etapa, el resultado podría ser se pase por alto una parte de la actividad del atacante, o se descarte el sistema por completo. Los resultados de un análisis de respuesta en vivo debe ayudar a entender el impacto de un acceso no autorizado hacia el sistema, y podría directamente impactar los siguientes pasos. Cada organización realizando funciones de seguridad en TI debe tener una capacidad básica para análisis de respuesta en vivo.

Examen forense: Un examen forense realizado sobre imágenes de disco durante una respuesta de incidentes, es una tarea enfocada y urgente. Cuando las balas están volando, no se tiene tiempo para realizar un examen completo y metodológico. Normalmente se escribe un conjunto de preguntas las cuales deben ser respondidas, decidir sobre una perspectiva requerida para descubrir información útil para responderlas, para luego ejecutar. Si no se obtienen respuestas, se debe utilizar una perspectiva diferente, pero esto depende sobre cuanto tiempo se tiene, y aquello esperado de obtener. Esto no quiere decir no se debe invertir tiempo realizando exámenes, se debe únicamente ser muy conciso en como se invierte el tiempo. Si el incidente al cual se está respondiendo es más tradicional, como con una investigación interna la cual no involucra una intrusión, este es el análisis al cual se dedicará más tiempo. Existe un grado de minuciosidad aplicado hacia exámenes forenses tradicionales de medios, con los cuales la mayoría de firmas y personal de respuesta de incidentes no tiene experiencia.

Al realizar un análisis de intrusión recordar, “no se encontrará toda la evidencia”. Muchas veces se trabajaran con organizaciones las cuales sufren del algunas veces llamado “Efecto CSI”, donde el equipo cree puede encontrar y explicar todo utilizando “herramientas interesantes y costosas ”. Durante la vida laboral se asimilará el hecho de la inexistencia de una herramienta mágica.

Anotación:

Otros tipos de investigaciones se basan en un proceso muy metódico durante los exámenes forenses. La meta es descubrir toda la información la cual sustente o refute la alegación. Si el estatuto del equipo incluye otros tipos de investigaciones, ser consciente de como escalar el esfuerzo apropiadamente, y mantener las habilidades necesarias para responder a otros tipos de consultas.

Fuentes:

https://blog.rapid7.com/2017/02/13/detection-and-analysis-phase-of-incid...
https://cybersecurity.att.com/blogs/security-essentials/incident-respons...
https://en.wikipedia.org/wiki/CSI_effect