Por qué necesita un equipo forense digital

(Y las habilidades que debe buscar)

0
37

En un mundo donde las empresas están aceptando el hecho de que las violaciones no son una cuestión de ‘si’ sino ‘de cuándo’, es cada vez más importante desarrollar recursos internos y externos para investigar y supervisar el impacto de los ataques una vez que hayan sucedido.

El análisis forense digital es una concentración de habilidades relativamente reciente, una que no requiere necesariamente los mismos talentos, experiencia o conocimiento que otras posiciones de ciberseguridad. Y si bien hay más empresas que reconocen que necesitan tal talento en el back-end, por así decirlo, todavía hay holdouts que están completamente enfocadas en la detección y prevención, en su detrimento.

“Creo que esto es realmente una idea errónea, de que las organizaciones no necesariamente tienen que crear equipos forenses digitales en la empresa”, señala Sean Mason, director de respuesta a incidentes de Cisco Security Services, y agregó que Cisco está desarrollando su propia capacidad forense a través de su equipo de servicios de respuesta a incidentes. Un problema clave, señala Mason, es que “no hay suficiente talento y, en general, la mayoría de las organizaciones no tienen suficiente demanda para requerir un equipo de tiempo completo en el personal”.

Munish Walther-Puri, director de investigación de la empresa de monitoreo de web oscura Terbium Labs, señala que la investigación forense digital requiere una combinación de “investigación, inteligencia e innovación”.

Los equipos de análisis forense digital son un complemento de cualquier porque equipo de TI, “descubren quién, cuándo, dónde y por qué entró en el sistema un mal actor”, indica Avani Desai, presidente de la firma de auditoría y contabilidad Schellman & Co. “Nos ayudaron a ver una imagen del, y brindaron orientación sobre cómo mitigar el riesgo de que eso volviera a suceder”. Los equipos forenses también toman datos y procesos pasados, y se basan en ellos para asegurarse de que tienen las herramientas para manejar los problemas que se están volviendo significativamente más difíciles de resolver, añade Desai.

Darien Kindlund, vicepresidente de tecnología de Insight Engines, un proveedor de tecnología de búsqueda de lenguaje natural, señala que la ciencia forense digital es “un pilar importante en cualquier equipo de operaciones de seguridad, para evaluar y comprender herramientas, tácticas y procedimientos (TTPs, por sus siglas en inglés) utilizadas por los atacantes para comprometer a una empresa. De esa manera, la empresa puede detener las infracciones futuras utilizando estos mismos TTPs contra los nuevos atacantes. La capacidad de una empresa para comprender cómo funcionan estos ataques está directamente relacionada con la eficacia de su equipo de análisis forense digital”.

Pensando de manera diferente para los forenses
Los empleados de análisis forense digital a menudo se agrupan con el personal de seguridad cibernético en general, pero el conjunto de habilidades y conocimientos requeridos suele ser muy diferente. Ser parte del equipo de análisis forense digital significa trabajar con un gran subconjunto de la organización, como recursos humanos, TI, legal, cumplimiento y operaciones, según Desai. “Necesitan tener habilidades interpersonales sólidas, ya que la tensión suele ser alta durante un incidente o respuesta de incumplimiento”, anota Desai. “Al igual que con cualquier trabajo altamente analítico, el equipo forense debe prestar mucha atención a los detalles, centrarse en un enfoque y ejecución metodológicos, y tener un enfoque determinado: ninguna piedra puede pasar desapercibida”.

Además, los miembros del equipo de análisis forense digital deben “comprender el entorno en constante evolución de la ciberseguridad, y cómo los cambios y el nuevo malware afectarán a los sistemas, lo que significa que deben tener un gran deseo de aprender y adaptarse a los cambios”, indica Desai.

El análisis forense digital puede no ser tan llamativo como otras posiciones de ciberseguridad: es un trabajo de seguridad de TI “no convencional”, según Desai. “Pero las habilidades de pensamiento analítico, atención a los detalles, resolución de acertijos son emocionantes y, cuanto más rápida sea la exposición, más fácil será tener un canal en los próximos diez años”.

Walther-Puri está de acuerdo en que el empleado forense digital ideal es “diferente al talento de TI convencional, un analista forense digital debe pensar de manera tanto estructurada como no lineal”. Por ejemplo, señala, la investigación se trata de ser metódico; pero a la vez, el seguimiento de un ciberdelincuente requiere creatividad. “Más allá de pensar como el adversario, un analista debe ser capaz de comprender las motivaciones y las técnicas con inspiración de la criminología, la economía, la seguridad, la inteligencia y la psicología”, indica Walther-Puri.

Mason dice que los “forenses”, como los llama, generalmente tendrán una mente más investigadora que cualquier otra cosa. “Además, dados los datos que necesitan para examinar e interpretar, estos son individuos con una comprensión muy profunda y muy amplia de TI y la infraestructura relacionada”, añade. Del mismo modo, Kindlund está de acuerdo en que los equipos de análisis forense digital deben “comprender los aspectos internos de cada sistema operativo (SO) y aplicaciones admitidas en su empresa. Esto se debe a que la actividad del atacante varía según la aplicación de destino y el sistema operativo, y los equipos forenses digitales necesitan extrapolar cómo puede existir una actividad identificada en todo el ecosistema de activos digitales dentro de una empresa”.

De hecho, las personas con antecedentes más “procedimentales” y con una inclinación mayor suelen ser más aptos para el análisis forense digital en su proceso de investigación y la demanda de recopilar y mantener evidencia, según Ron Schlecht, socio gerente de BTB Security Consulting. “Eso es lo que hemos visto que es más exitoso”, indica Schlecht, y agrega que estos empleados a menudo tienen antecedentes legales o de cumplimiento de la ley, pero aún requieren capacitación técnica. El resultado final: deben entender las “huellas digitales que todos dejamos atrás, los aspectos de una computadora y cómo unirlos”, indica.

Dada la cantidad de colaboración que el equipo forense digital debe realizar (externamente y dentro de la organización) con los recursos legales, de cumplimiento de la ley, de TI y de recursos humanos, Desai señala que las habilidades interpersonales y un amplio entendimiento de estas unidades es tan importante como las habilidades técnicas necesarias acordes con una investigación de violación digital. “Necesitan la capacidad de comunicarse en términos sencillos”, añade Desai. “Necesitan comunicarse, necesitan comprender la cadena de mando, especialmente el aspecto legal”.

Pero, con un déficit existente de casi tres millones de personas para ocupar puestos de seguridad cibernética, según un estudio reciente de ISC (2), cubrir el número creciente de puestos forenses digitales aún más exigentes será un desafío para las empresas. La brecha de habilidades para los equipos de análisis forense digital “refleja la gran brecha de habilidades de seguridad cibernética en todo el mundo”, según Kindlund. “La mayoría de las firmas enfocadas en crear grandes equipos forenses fomentan estas habilidades internamente mediante la contratación de pensadores creativos y técnicos, y la capacitación del personal para realizar habilidades forenses críticas entre el personal de seguridad de TI que está interesado en aprender más”.

La aguda escasez en curso de las habilidades de seguridad cibernética hace que atraer y retener a los profesionales de la seguridad cibernética con habilidades forenses digitales sea un desafío, señala Doug Cahill, director de grupo y analista senior de Enterprise Strategy Group, Inc. “Los factores críticos de éxito para hacerlo van más allá de la compensación e incluyen el fomento una cultura en la que la ciberseguridad es una prioridad clara”, añade. “La oportunidad de continuar aprendiendo y expandiendo el conjunto de habilidades de uno, y el acceso a los controles avanzados de ciberseguridad, incluidos los controles de detección y respuesta de puntos finales, es clave”.

Cómo atraer, retener y preparar profesionales forenses digitales

  1. Entrenar a los empleados en otras áreas. Pensadores excepcionales en anti-lavado de dinero (AML, por sus siglas en inglés) y cumplimiento, analistas creativos de seguridad corporativa, y aquellos que entienden la narración y las estadísticas (auditoría, análisis financiero, etc.) son personas que pueden ser entrenadas en las habilidades requeridas para el análisis forense digital. Las habilidades se pueden enseñar, mientras que la curiosidad y la creatividad son mucho más difíciles de impartir.
  2. Construir una cultura de diversidad. Si la misión y el conjunto de problemas atraen talento, la cultura es clave para la retención. La diversidad, en el fondo, la experiencia y el conjunto de habilidades, creará una cultura única que hará que la gente lo piense dos veces antes de irse.
  3. Desarrollar roles en torno a resolver problemas, no funciones o títulos. Es fácil darle a alguien un título o asignarlo a una función, pero los tipos de personas que cumplirán esos roles pueden aburrirse o sentirse limitados. Para desarrollar personal (tanto horizontal como verticalmente), configure los roles en función del tipo de problema y alcance (por ejemplo, táctico/operativo, investigativo/analítico, informes/prestación de servicios). Las personas seguirán creciendo y preparando a los colegas/miembros del equipo junior si pueden imaginar una trayectoria para ellos mismos.


Atributos clave de los analistas forenses digitales exitosos
Curioso. Un analista forense digital debe hacer un estudio rápido de conceptos, tecnologías, industrias y comunidades. Una habilidad crucial es saber cómo mantenerse al tanto de un tema, sobresalir en la síntesis de múltiples fuentes y rastrear noticias, eventos y tendencias. Cuando se enfrenta a una incertidumbre, el analista puede descubrir cómo encuadrar un enfoque.
Analítico. Los pensadores críticos y estructurados que saben aplicar la metodología son esenciales. Podrán demostrar la diferencia entre una idea, una hipótesis, una prueba y una idea. Para una audiencia de negocios, un analista debe saber presentar las pruebas rigurosamente, sin ser demasiado académico.
Conocedor de datos. El analista exitoso tiene un gran apetito por los datos y puede usarlo para analizar procesos e identificar patrones. La familiaridad con el pensamiento cuantitativo, las estadísticas básicas y el trabajo con conjuntos de datos es esencial. Los datos no son mágicos, y el analista se destaca por hacer las preguntas correctas.

Karen Epper Hoffman, CSOOnline.com