Skip to content

Latest commit

 

History

History
39 lines (29 loc) · 2.62 KB

README.md

File metadata and controls

39 lines (29 loc) · 2.62 KB
Raw

Amenazas Digitales: Infección de equipos

La idea detrás del proyecto es crear una metodología para facilitar la adquisición de datos y el análisis de los mismos en búsqueda de indicadores de infección en dispositivos computacionales de uso habitual. Esta metodología se compone de varios módulos tratando tópicos específicos y dividiéndose en dos fases principales en cada uno:

  1. Adquisición de datos
  2. Análisis de datos

Adquisición de datos

En esta fase se describen diversas técnicas para obtener información de los equipos a evaluar para su posterior análisis. Se dará prioridad a aquellos procesos y tecnicas que permitan:

  • Disminuir tanto como se pueda la intrusividad en el estado del equipo
  • Reproducir la captura de información en el futuro
  • Tener posesión del equipo el menor tiempo posible

Se plantea que esta fase sea desarrollada al comienzo del proyecto para tantos módulos como sea posible dado que esta metodología es de especial valor para otras organizaciones de alcance global que carecen de protocolos para que especialistas en campo puedan recolectar información relevante para sus investigaciones y asistencias remotas a organizaciones potencialmente comprometidas.

Análisis de datos

En esta fase se proponen algunas técnicas de análisis de la información previamente recolectada, haciendo énfasis en la detección de indicadores de compromiso y en la automatización de algunas de las tareas.

Se dará prioridad a aquellas técnicas que no destruyan la evidencia y sean reproducibles de forma confiable siguiendo el protocolo.

Esta fase puede desarrollarse para la mayoría de los módulos después de tener la parte de adquisición lista ya que el público beneficiario de las actividades de esta fase es más reducido, ya que en muchos casos las organizaciones especialistas ya tienen protocolos internos de análisis de esta información.

Objetivos

  • Reducir los falsos positivos a las organizaciones especializadas
  • Generar capacidades locales basicas en recolección y análisis de información relacionada a la seguridad de la información de dispositivos personales

Audiencia objetivo de la metodología

  • Implementadores de seguridad de la información a nivel regional que ejecutan entrenamientos, auditorias, acompañamientos, etc.
  • "Campeones" existentes dentro de las organizaciones potencialmente beneficiarias de ejecutar la recolección y/o análisis de infromación de seguridad

Algunos módulos propuestos

Recolección y análisis de:

  • Tráfico de red
  • Logs
  • Datos de aplicaciones
  • Memoria física
  • Muestras de malware
  • Sitios sospechosos
  • Modificaciones de sistema