Resposta a incidentes

Resposta a incidentes
Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Saber o que fazer no caso de um incidente de segurança é crucial para poder descobrir o que aconteceu e como se certificar de que nunca mais aconteça. Quando um incidente de segurança é identificado, é imperativo que sejam tomadas medidas para que a evidência forense não seja destruída no processo de investigação. A evidência forense inclui o conteúdo de todos os dispositivos de armazenamento conectados ao sistema no momento do incidente e até mesmo os conteúdos armazenados na memória de um computador em execução.

O uso de um disco rígido externo para navegar no conteúdo do disco rígido de um sistema comprometido irá destruir os carimbos de data e hora que um técnico forense pode usar para relacionar aos vários eventos do sistema.

Quando uma falha no sistema ou problema de segurança for detectado, recomenda-se consultar alguém familiarizado com métodos de investigação forense. Se os métodos forenses não são utilizados, isso pode levar a evidências que não são admissíveis no tribunal se o incidente resultar em um processo judicial.

Há etapas específicas a serem tomadas com um sistema, dependendo do tipo de incidente ocorrido. A menos que um sistema esteja causando dano a si próprio ao excluir arquivos ou pastas que possam ser potenciais evidências, é melhor deixar o sistema em execução para o investigador forense. O investigador forense deverá:

  • Documentar o que está na tela, com “prints”. Ele também fotografará o sistema atual e todas as conexões ativas;
  • Capturar o conteúdo da memória do sistema. Isso é feito usando um pequeno utilitário instalado a partir de uma unidade removível que criará uma imagem forense do que está na memória física do sistema. Se a memória não for imaginada (coletada) e o computador foi usado para cometer um crime, o usuário do computador pode afirmar que um vírus, que estava funcionando apenas na memória, foi o responsável.
  • Desligar o computador. Dependendo do tipo de sistema operacional, deverá ser observado o tipo de desligamento que deverá ser executado.
  • Criar uma imagem forense do disco rígido do sistema. Isso é feito usando o software de imagem e geralmente um bloqueador de gravação de hardware para conectar o disco rígido do sistema ao computador de imagem. Um bloqueador de gravação de hardware é usado para impedir que o computador de imagem escreva qualquer coisa no disco rígido.

Com estes passos macros, os investigadores/analistas poderão pesquisar pelo sistema sem fazer alterações na mídia original.

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

Conteúdos relacionados

All articles loaded
No more articles to load

© 2019 GRRP Tech. Todos os direitos reservados.

Desenvolvido por Upsites