La diferencia entre la informática forense tradicional y la informática forense en la nube no podría ser más marcada. La nube es cada vez más utilizada por empresas de todo el mundo, pero pocas de estas empresas han incluido el análisis forense de la nube en sus inversiones en ciberseguridad.
Muchas empresas todavía creen erróneamente que el análisis forense tradicional es suficiente, pero sin una inversión en análisis forense en la nube, las empresas podrían verse incapaces de procesar a los atacantes, recopilar pruebas sobre lo que realmente sucedió y presentar su caso en la corte.
¿Qué es exactamente la nube en 2020?
Antes de sumergirnos directamente en el análisis forense de la nube, es importante que tenga una comprensión clara de la naturaleza de la nube. La nube es esencialmente una variedad de servicios digitales a los que se accede a través de Internet. Los usuarios de la nube pueden variar desde grandes multinacionales hasta individuos individuales, y los propósitos de uso pueden variar desde la transmisión de televisión hasta el desarrollo de software y el almacenamiento de fotos personales.
Dado que algunos de estos datos pueden ser clasificados o extremadamente privados, los consumidores y las empresas hacen todo lo posible para asegurarse de que su servicio en la nube se almacene de forma segura en línea. En su forma actual, existen tres tipos diferentes de servicio en la nube, cada uno de los cuales proporciona un tipo específico de servicio a través de Internet:
SaaS (software como servicio): SaaS proporciona software a pedido a los usuarios. Los datos se alojan localmente y los usuarios acceden a ellos a través de un cliente, como un navegador.
IaaS – Infraestructura como servicio – IaaS proporciona una infraestructura informática esencial (como un entorno virtual) como un servicio junto con las funciones de red y el almacenamiento.
PaaS – Plataforma como servicio – PaaS proporciona una plataforma informática completa a través de Internet. Las capacidades incluyen la capacidad de desarrollar y entregar aplicaciones completas a través de Internet. Otorga acceso a una enorme potencia informática sin tener que pagar por el hardware o el alojamiento.
Los tipos de nube se pueden diferenciar aún más entre privado, público, comunitario e híbrido, cada uno de los cuales determina el nivel y los tipos de acceso disponibles. El tipo de acceso dependerá del usuario y de la empresa involucrada. Muchas personas y empresas se han enamorado de la facilidad de uso de la nube y está buscando que se generalice cada vez más.
¿Qué es Cloud Forensics?
El análisis forense en la nube es una combinación de análisis forense digital y computación en la nube. Es directamente responsable de investigar los delitos que se cometen utilizando la nube. La informática forense tradicional es un proceso mediante el cual se recopilan los medios en la escena del crimen o donde se obtuvieron los medios; incluye la práctica de perseverar los datos, la validación de dichos datos y la interpretación, análisis, documentación y presentación de los resultados en la sala de audiencias. En resumen, es muy similar a cualquier otra forma de análisis forense.
En la mayoría de las ciencias forenses informáticas tradicionales, cualquier evidencia que se haya descubierto en los medios de comunicación estará bajo el control de las autoridades competentes. Aquí es donde comienza la división entre la nube y la ciencia forense tradicional.
En la nube, los datos pueden existir potencialmente en cualquier lugar de la tierra y potencialmente fuera de su jurisdicción policial. Esto puede hacer que el control de la evidencia (y el proceso de validación) se vuelva increíblemente desafiante.
En pocas palabras, el análisis forense en la nube combina las realidades de la computación en la nube con el análisis forense digital, que se centra en la recopilación de medios de un entorno de nube. Esto requiere que los investigadores trabajen con múltiples activos informáticos, como servidores virtuales y físicos, redes, dispositivos de almacenamiento, aplicaciones y mucho más. Para la mayoría de estas situaciones, el entorno de la nube permanecerá activo y capaz de cambiar.
A pesar de esta amplia gama de diferentes activos y desafíos de jurisdicción, el resultado final debe ser el mismo: las pruebas deben presentarse en un tribunal de justicia.
Si bien hay muchos otros pasos que deben tomarse para mejorar la seguridad de la nube, esta es un área que las empresas no pueden pasar por alto.
¿Cuál es el costo de no implementar el análisis forense en la nube?
La principal preocupación de cualquier investigador forense en la nube es la preservación de la evidencia, especialmente contra la manipulación por parte de terceros. Esto es lo que permite que las pruebas sean admisibles en los tribunales. En los modelos de nube SaaS y PaaS, los clientes dependen de los proveedores de servicios en la nube para acceder a los registros de uso, ya que no tienen acceso al hardware físico (y mucho menos el control sobre él).
En algunos casos, se sabe que los proveedores de servicios en la nube ocultan registros a los clientes o mantienen políticas que impiden recopilar registros estatales. Esta es una práctica comercial extraña, dado lo preocupados que están la mayoría de los consumidores con el control sobre sus datos, privacidad y anonimato en línea, pero es un obstáculo que enfrentan los consumidores de todos modos.
Es por esto que mantener una cadena de custodia clara en una infraestructura en la nube es extremadamente difícil. En la medicina forense tradicional, los investigadores tendrían un control completo de las pruebas en cuestión.
En la ciencia forense en la nube, es posible que los investigadores no tengan un control total sobre a quién permite el proveedor de servicios en la nube recopilar pruebas. Si las personas autorizadas no están debidamente capacitadas, la cadena de custodia o las pruebas pueden ser inadmisibles en la corte.
Esto podría llevar a que se desestime todo el caso de empresas o individuos, incluso si fueran una víctima totalmente inocente de un crimen dañino basado en la nube.
Conclusión
Debido a los tres modelos de servicio diferentes de la computación en la nube y las distinciones adicionales entre quién tiene acceso autorizado, existen desafíos increíblemente únicos para la ciencia forense en la nube que no se pueden ver en ningún otro campo de la ciencia forense.
Como los servidores en la nube a menudo se encuentran en varios condados diferentes, los datos requeridos por los investigadores forenses también pueden estarlo. Esto presenta inmediatamente a los investigadores el obstáculo de la jurisdicción legal. Los servicios en la nube también pueden mostrarse reacios a ayudarlo cuando se trata de realizar una investigación. Después de todo, lo que puede ser un problema para usted puede no serlo en absoluto para ellos, y su investigación podría costarles más tiempo y dinero.
A pesar de estos problemas, si las empresas se toman el tiempo para implementar correctamente el análisis forense en la nube, aumentarán enormemente sus posibilidades de aumentar su ciberseguridad y verán su caso en los tribunales debidamente resuelto.
Ludovic Rambert para InfoSecurity Magazine
