Análisis forense en la nube
La computación en la nube es el futuro. Este paradigma ofrece un beneficio económico significativo a las entidades comerciales. Debido a este avance, tiene sus desafíos y amenazas que pueden poner en peligro la entidad empresarial. La computación en la nube se ha convertido en un nuevo campo de batalla para el delito cibernético. Para investigar estos casos, necesitábamos análisis forenses en la nube.
” La ciencia forense en la nube es la aplicación de la ciencia forense digital en la computación en la nube como un subconjunto de la ciencia forense en red para recopilar y preservar pruebas de una manera que sea adecuada para su presentación en un tribunal de justicia.”
Cloud forensic es la fusión de todas las diferentes técnicas forenses (es decir, técnicas forenses digitales, técnicas forenses de red, técnicas forenses de hardware, etc. ). Implica interacciones entre varios actores de la nube (es decir, proveedores de la nube, consumidores de la nube, agentes de la nube, proveedores de la nube, auditores de la nube) para facilitar las investigaciones internas y externas. Legalmente, se trata de situaciones multijurisdiccionales y multiinquilino.
Pasos forenses en la nube
· Identificación
Identificar el acto indebido o las actividades potencialmente delictivas que hayan tenido lugar en sistemas basados en TI. Estas actividades pueden ser una queja hecha por un individuo, anomalías detectadas por IDS, monitoreo y creación de perfiles debido a un rastro de auditoría, eventos sospechosos en una nube dependerán de la adopción del modelo de implementación(es decir, Privado, Público, Comunitario e Híbrido), la forma de servicios en la nube(es decir, servicios en la nube). SaaS, PaaS e IaaS) y la región geográfica opta por el despliegue.
· Preservación y recopilación
Recopilación de datos a través de toda la fuente sin dañar su integridad según las normas legales y forenses. Preservar todas las pruebas y datos sin atemperar su integridad para una investigación posterior. Podría existir la posibilidad de que la recopilación de datos requiera un volumen de almacenamiento de datos extremadamente grande.
Por lo tanto, el investigador debe abordar las reglas y regulaciones relacionadas con la protección de datos y los problemas de privacidad y su impacto en las pruebas almacenadas en la nube. Al recopilar datos del lado del proveedor de la nube, siempre tenga en cuenta los datos del otro usuario u organización. Se debe obtener una imagen precisa de los datos del servicio en la nube para su posterior investigación. Un investigador puede intentar preservar los datos residentes en la nube entregando una orden legal al proveedor de servicios en la nube.
· Detección
Mediante el uso de múltiples formas y algoritmos (es decir, filtrado, coincidencia de patrones) podemos detectar la actividad sospechosa o el código malicioso.
* Análisis
Mediante el uso de algunas herramientas forenses podemos analizar e investigar los datos y el delito. La autoridad legal puede hacer la pregunta a la organización o a un individuo para encontrar alguna evidencia. Después de analizar los datos, debemos compartir el testimonio con las agencias policiales y la organización de víctimas o un individuo.
Desafíos en la investigación forense en la nube: –
* Vigilancia de la cadena de dependencias externas sobre proveedores de nube externos
* Diferentes proveedores tienen diferentes enfoques para la computación en la nube.
* Falta de colaboración internacional y mecanismo legislativo en el acceso a datos entre naciones & exchange
* Falta de legislación / regulación y asesoramiento jurídico
* Menor acceso y control de los datos forenses en todos los niveles desde el lado del cliente
* A veces falta de experiencia forense
* Cada servidor en la nube contiene archivos de muchos usuarios. Es difícil aislar los datos de un usuario individual de los demás
* Aparte de los proveedores de servicios en la nube, generalmente no hay evidencia de que vincule un archivo de datos dado a un sospechoso en particular
Solución forense en la nube
· Pruebas de herramientas forenses
Actualmente, no hay ninguna herramienta forense completa específica para la nube disponible en el mercado. Aún así, los expertos forenses están utilizando las herramientas existentes para adquirir pruebas del entorno en la nube.
Los expertos forenses están utilizando las siguientes herramientas para su investigación
1. Encase Enterprise: para recopilar datos de forma remota desde la capa de SO invitado de la nube. Lo mejor es analizar los datos de IaaS, pero no la instantánea de los datos.
2. Accessdata FTK: para recopilar datos de forma remota desde la capa de SO invitado de la nube.
3. FORST: Plataforma de computación en la nube de pila abierta para adquirir los registros de Api, el disco virtual y los registros de firewall de invitados.
4. Analizador de nube UFED: para analizar datos y metadatos en la nube.
5. Docker Forensics Toolkit & Docker Explorer: Extrae e interpreta artefactos forenses de imágenes dick del sistema Host de Docker.
6. Diffy (de Netflix)
· Transparencia de los servicios y datos en la nube
Falta de transparencia con respecto a la infraestructura interna en la nube. Los proveedores de servicios en la nube no pueden compartir la implementación interna detallada de sus productos porque puede presentar una amenaza para su sistema.
* SLA
Los acuerdos de nivel de servicio deben incluir información de procedimiento clara y precisa sobre cómo el investigador y el proveedor de servicios en la nube manejarían una investigación forense en caso de incidente criminal. También debe mencionar las funciones y responsabilidades de cada parte con las consecuencias jurídicas de sus acciones.
* Medicina forense como servicio
Los proveedores de servicios en la nube deben proporcionar un mecanismo o servicios a través de los cuales los investigadores puedan realizar investigaciones forenses en profundidad.
Conclusión, este tema tiene la intención de compartir el conocimiento sobre la ciencia forense en la nube.
