Existen categorías generales y funciones básicas del software necesario para un equipo de Respuesta ante Incidentes, para consecuentemente realicen un buen trabajo.

¿Cual software utilizar?

Muchas organizaciones tienen esta misma pregunta, sobre cual software utilizar para el equipo de respuesta ante incidentes y forense, y las razones de esto. Usualmente están interesados en si es factible utilizar herramientas open source o libres, como también si pueden utilizar cualquier herramienta comercial. La respuesta es; se debería utilizar una combinación de software comercial y herramientas libres. En lugar de adherirse a herramientas específicas, es mejor explicar el razonamiento para seleccionar las herramientas a utilizar.

Cuando se considera exactamente cuales soluciones utilizar, esto usualmente viene relacionado al tiempo, pues se selecciona la herramienta la cual hace el trabajo en el menor lapso de tiempo posible. Se prioriza en la preparación, ejecución, y el reporte asociado con los hallazgos desde la herramienta. Existen dos razones principales de porque el tiempo es muy importante, porque permite encontrar elementos y resolver el crimen más rápido (minimizando el daño potencial), y el hecho de los clientes pagan por hora. El tiempo es probablemente el factor principal para la organización también, pero existen otras consideraciones, como el costo o inversión.

También es necesario tener opciones, porque algunas veces una herramienta podría no funcionar en una situación. Consecuentemente se deben tener al menos dos o más herramientas las cuales puedan realizar la misma (o muy similar) función. Se debe mantener una lista de las herramientas actualmente aceptadas factibles de ser utilizadas por un profesional. Antes de colocar una herramienta en la lista se deben de realizar pruebas. Incluso aunque otras organizaciones pueden ya haber evaluado la herramienta, es una buena idea evaluarlo en un entorno propio.

Tipos de software utilizado por los Equipos para Respuesta ante Incidentes

El software utilizado durante las investigaciones generalmente caen en ocho categorías. El Equipo para Respuesta ante Incidentes debe inventariar cuales tiene para cada área, e investigar si se necesitan herramientas adicionales basándose en algunos criterios expuestos como:

• Discos de inicio: Esta categoría está constituida de medios en “vivo” (CDs, DVDs o USB), con los cuales se puede iniciar y realizar Respuesta ante Incidentes o tareas forenses. Por ejemplo, CAINE o Kali Linux, proporcionan entornos iniciables útiles para Respuesta de Incidentes o tareas forenses.
• Sistemas operativos: El equipo para Respuesta ante Incidentes debe estar familiarizado con cada sistema operativo utilizado dentro de la organización. Se recomienda obtener medios de instalación para cada sistema operativo, y crear máquinas virtuales con instantáneas para revertirse. Esto es muy útil para propósitos de aprendizaje, pero también se pueden utilizara para realizar pruebas u otros experimentos para desarrollar o confirmar procedimientos específicos.
• Herramientas para replicar discos: Mantener una lista de las herramientas para réplicalos documentos ubicados en el sitio web de NIST sobre pruebas de herramientas forenses. Asegurarse el personal de TI y otros, en la linea de frente están familiarizados con las herramientas y procedimientos.
• Captura y análisis de memoria: Similar a la réplica de discos, se deben tener disponibles un número de herramientas fiables y probadas para la captura de memoria. Tener en consideración los diferentes sistemas operativos dentro del entorno, y las soluciones de prueba para cada uno.
• Captura para respuesta en vivo y análisis: Se deben crear y probar conjuntos de herramientas para respuesta en vivo, para cada sistema operativo utilizado dentro de la organización.
• Indicador de creación y utilidades para búsqueda: A través del proceso de una investigación, se necesitan herramientas para ayudar a crear y buscar indicadores de compromiso (IOCs)
• Suites para exámenes forenses: Las suites para exámenes forenses proporcionan un completo conjunto de características en un único paquete. Típicamente enfocado en el análisis de imágenes de disco, estas suites proporcionan la capacidad de interpretar formatos de datos, y permiten al investigador realizar búsquedas por información relevante. Como por ejemplo Autopsy o FTK.
• Herramientas para análisis de logs: Durante muchas investigaciones, el equipo enfrentará examinar vastas cantidades de archivos de sucesos. Un formato de log común es un archivo de texto plano delimitado. En estos casos se puede realizar el análisis con cualquier herramienta la cual opere sobre texto plano. Sin embargo algunas veces el formato es propietario, y se necesita una herramienta para leer o convertir datos. Frecuentemente el volumen de los logs es tremendo, con múltiples archivos. Si se espera encontrar esto en la organización, se sugiere identificar herramientas para tratar con este gran conjunto de datos conteniendo logs.

Fuentes:

https://www.caine-live.net/
https://www.kali.org/
https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-t...
https://www.autopsy.com/