La recopilación de pistas iniciales es un paso fundamental en cualquier investigación. Existe un tema no muy adecuado durante las investigaciones; centrarse únicamente en encontrar malware. Es poco probable la única meta del atacante sea instalar malware. El atacante probablemente tiene otras metas en mente, tal vez robar correos electrónicos o documentos, capturar contraseñas, interrumpir la red, o alterar datos. Una vez el atacante está en la red y tiene credenciales válidas, no necesita utilizar malware para acceder hacia otros sistemas. Enfocarse únicamente en malware probablemente generará la pérdida de hallazgos críticos.

Recordar el enfoque de cualquier investigación debe estar sobre las pistas. Se ha respondido muchas veces a varios incidentes donde otros equipos completaron las investigaciones revelando pocos hallazgos. En muchos casos la falla de las investigaciones previas es debido al hecho de los equipos no se enfocan en desarrollar pistas válidas. En cambio se enfocan en “objetos brillantes” irrelevantes, los cuales no contribuyen para resolver el caso. Existen numerosos incidentes donde se han encontrado hallazgos adicionales, como la perdida sustancial de datos, o acceso hacia sistemas sensibles de cómputo, simplemente siguiendo buenas pistas.

Frecuentemente se pasa por alto el proceso de evaluar nuevas pistas para asegurar sean sensibles. El tiempo extra invertido en evaluar las pistas ayudará la investigación se mantenga enfocada. Por experiencia existen tres características comunes de pistas potenciales:

Relevante: La pista se relaciona con el incidente actual. Esto puede parecer obvio pero frecuentemente es pasado por alto. Una trampa común en la cual caen las organizaciones es categorizar todo lo cual parezca sospechoso como parte del incidente actual. También un incidente hace muchas organizaciones observen el entorno en formas las cuales antes no lo habían hecho, descubriendo muchas “actividades sospechosas“ las cuales en realidad son normales. Esto abruma rápidamente al equipo con trabajo descarrilando la investigación.

Detallado: La pista potencial tiene detalles sobre el curso potencial de la investigación. Por ejemplo un tercero puede proporcionar pistas las cuales indican una computadora en el entorno se comunicó con un sitio web externo hospedando malware. Aunque fue bueno se informe sobre esto esta pista no es muy específica. En este caso se debe necesita una palanca para más detalles. Preguntar sobre la fecha y hora del evento y las direcciones IP; pensar quien, que, donde, cuando, porque, y como. Sin estos detalles se perderá tiempo.

Accionable: La pista contiene información factible de ser utilizada y la organización posee los medios necesarios para seguir la pista. Considerar una pista la cual indique una gran cantidad de datos transferidos hacia un sitio web externo asociado con una botnet. Se tiene la fecha y hora exacta, y la dirección IP de destino. Sin embargo la organización no tiene registros de datos sobre el flujo de red o firewall, disponible para identificar el recurso interno el cual fue la fuente de datos. En este caso esta pista no es muy accionable, porque no hay una manera de trazar la actividad hacia una computadora específica de la red.

Fuentes:

https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf