Análisis Forense Digital: la aplicación de una metodología para la identificación, recolección, clasificación y análisis de datos relacionados con un incidente preservando la integridad de la información y manteniendo la cadena de custodia de los datos.
Los sistemas de automatización y control industrial están expuestos a sufrir un incidente de seguridad que puede causar serios perjuicios a una compañía industrial. Las consecuencias pueden ir más allá del impacto en las redes o los sistemas ya que pueden causar graves daños a las instalaciones, detener el proceso de producción, ocasionar daños medioambientales o, lo que sería peor, a las personas.
Además de disponer de un sistema de gestión de la ciberseguridad industrial que establezca los controles y medidas de seguridad para minimizar el riesgo de incidentes, es necesario contar con elementos de respuesta a incidentes y recuperación ante desastres.
El Análisis Forense Digital es una disciplina que se engloba dentro del concepto DFIR (Digital Forensics and Incident Response) que forma parte del proceso de actuación tras la detección de un incidente de seguridad. Podemos definir el Análisis Forense Digital como la aplicación de una metodología para la identificación, recolección, clasificación y análisis de datos relacionados con un incidente preservando la integridad de la información y manteniendo la cadena de custodia de los datos.
El objetivo del Análisis Forense es responder a preguntas del tipo ¿qué? ¿quién? ¿cuándo? ¿cómo? en relación a un incidente de seguridad ya sea para recuperar datos perdidos, ayudar en la resolución de problemas, conocer las causas del incidente o para llevar a cabo una investigación que puede ser interna o puede ser colaborando con la justicia y/o cuerpos policiales cuando se tengan indicios de que el incidente que se investiga puede estar relacionado con un delito (un ataque informático, por ejemplo).
¿Por qué Análisis Forense en Sistemas de Control Industrial?
Una de las ventajas de aplicar técnicas de Análisis Forense en entornos industriales es la capacidad de identificar rápidamente las causas de un fallo. Esto permite resolver el problema y volver a operar con normalidad a la vez que aporta lecciones aprendidas para evitar incidentes en el futuro. También juega un papel relevante en la identificación de amenazas y vulnerabilidades ya que permite identificar el origen de un ataque y qué vulnerabilidades han sido explotadas, permitiendo implementar las adecuadas medidas de seguridad para prevenir este tipo de incidentes.
Cuando se tiene la sospecha de que el incidente puede ser causado por un ataque, al tratarse de un hecho delictivo, el Análisis Forense es un aliado de la investigación judicial y/o policial y debe seguir una metodología y una regulación específica que garantizará que los procesos de recolección, traslado, almacenamiento y análisis de evidencias digitales se realiza conforme a lo establecido por la regulación.
La Cadena de Custodia
En una investigación forense digital es esencial contar con evidencias electrónicas válidas. El analista deberá garantizar la consistencia de las evidencias a lo largo de todo el proceso (recopilación de las pruebas, tratamiento, análisis, almacenamiento, etc.). La cadena de custodia es el procedimiento de control y documentación que garantiza la integridad de las evidencias electrónicas en todo momento impidiendo su alteración, sustitución, contaminación, degradación o destrucción.
En entornos digitales (IT y OT) la obtención de una «imagen forense» de los datos permite analizar las pruebas en laboratorio sin alterar la prueba original. El clonado de medios es una de las técnicas que se utilizan. Así, al trabajar con imágenes forenses, se preserva la evidencia original y, mediante el empleo de mecanismos de firmas criptográficas o funciones de HASH, se puede verificar que los datos no han sido manipulados.
Aunque el proceso de análisis en entornos IT y entornos OT es muy similar, hay que considerar algunas diferencias entre ellos:
- Tipología de los datos: en entornos IT los datos suelen encontrase almacenados en estaciones de trabajo, servidores o unidades de almacenamiento, mientras que en OT las fuentes de análisis de datos pueden incluir sistemas de control, PLC, o múltiples dispositivos IoT.
- Sistemas operativos: en entornos IT se trabaja con sistemas operativos estándares como Windows o Linux, mientras que en OT podemos encontrar sistemas operativos propietarios o versiones modificadas embedded específicas de los sistemas de control.
- Arquitectura de red: aunque los protocolos de comunicación en entornos OT pueden ser múltiples, en general, el tráfico de red suele ser más predecible que en IT, pudiendo ser esto de gran ayuda para detectar tráfico de red sospechoso.
- Medidas de seguridad: en entornos IT suele haber más elementos de seguridad (firewalls, IDS, antivirus…) que permiten detectar comportamientos extraños a la vez que guardan registros de actividad (logs) para ser analizados con posterioridad, mientras que en OT resulta menos frecuente encontrar elementos de seguridad que ayuden en la investigación o resolución del incidente.
- Regulación: los entornos IT suelen estar sujetos a distintas regulaciones, como RGPD, PCI-DSS, ENS, NIS… que ayudan a definir un sistema de gestión de la seguridad y a contar con un marco de políticas y procedimientos, mientras que en OT (salvo en sectores muy regulados o infraestructuras críticas) no se suelen aplicar marcos normativos.
Técnicas y Herramientas de Análisis Forense
Finalmente, es necesario conocer las herramientas que un investigador puede utilizar. Para el análisis en entornos de control industrial se pueden utilizar herramientas forenses de propósito general aunque con algunas adaptaciones para entornos OT cuando sea preciso. Esto es especialmente relevante en el análisis de dispositivos como PLCs en los que, en algunos casos, será necesaria la colaboración del fabricante para poder extraer o analizar evidencias electrónicas de esos dispositivos.
Existen herramientas de hardware para la captura de las evidencias (como clonadoras; bloqueadores de escritura; capturadoras de tráfico de red (cableada o inalámbrica), etc. y herramientas de software, utilizadas principalmente en la fase de análisis de las pruebas. Podemos clasificar las herramientas de software según el tipo de análisis a realizar:
- Análisis forense de red: se utilizan herramientas de captura de tráfico de red para su análisis posterior. El análisis permite identificar el origen y destino de los paquetes de red o qué información contienen. Ejemplos: Wireshark, tcpdump, NetworkMiner…
- Análisis forense de memoria: permiten realizar un volcado de memoria, es decir, capturar en un fichero el contenido de la memoria volátil para su posterior análisis. Este análisis permite conocer los procesos que estaban activos, librerías cargadas, ficheros temporales en uso, etc. para detectar -por ejemplo- un malware que no está visible en el disco duro. Ejemplos: Volatility, BlackLight, Rekall…
- Análisis forense de equipos: realizan análisis de un, sistema completo, principalmente de la unidad de almacenamiento (disco duro) pero también de los registros del sistema o los procesos abiertos. Útiles para identificar ficheros eliminados, ocultos o modificados. Ejemplos: EnCase, FTK, Autopsy, Bulk_extractor…
- Análisis de malware: se trata de herramientas que emplean técnicas de ingeniería inversa para conocer el comportamiento y las capacidades de un software malicioso. Ejemplos: Cuckoo Sandbox, OllyDdb, IDA Pro, Radare2…
- Análisis de logs: permiten analizar distintas fuentes de logs con el fin de obtener información correlada que permita detectar comportamientos maliciosos a lo largo de una línea temporal. Ejemplos: Splunk, ELK, Logtail…
En definitiva, cada analista debe montar su “kit de herramientas” incluyendo soluciones de hardware y software para llevar a cabo todas las tareas de recopilación, captura y análisis de evidencias. En el ámbito industrial se requieren conocimientos específicos sobre los sistemas de control para aplicar las técnicas forenses según las características particulares de los entornos industriales.
Para tener la capacidad de realizar un análisis forense digital en un entorno industrial es necesaria una formación especializada que aporte el conocimiento clave sobre las herramientas a utilizar en los procedimientos a implementar. Te animamos a participar en la próxima edición del T05. Taller de Análisis Forense en un entorno de Automatización Industrial ¡Plazas limitadas!
————————————————–
- T05. Taller de Análisis Forense en un entorno de Automatización Industrial (https://www.cci-es.org/t05-taller-analisis-forense-entorno-automatizacion-industrial/)
- Link a la Publicación de CCI en la que se basa este taller (https://www.cci-es.org/activities/buenas-practicas-en-el-analisis-forense-de-sistemas-de-automatizacion-y-control-industrial/)
Autor:
Joan Figueras Tugas
Profesor CCI
Ecosistema para avanzar juntos en Ciberseguridad Industrial
Networking | Conocimiento | Experiencias