Análisis forense de fugas de información en ambientes corporativos [Recurso electrónico]
Idioma: Español Detalles de publicación: Buenos Aires : Universidad de Buenos Aires. Facultad de Ciencias Económicas. Escuela de Estudios de Posgrado , 2021Descripción: 130 pTema(s): Recursos en línea: Nota de disertación: Trabajo Final de Maestría.-- (Maestría en Seguridad Informática), 2021 Magister en Seguridad Informática Universidad de Buenos Aires. Facultad de Ciencias Económicas 2021 Maestría en Seguridad Informática Resumen: La información constituye uno de los principales activos de las empresas y como tal se encuentra expuesta a múltiples amenazas que ponen en riesgo su integridad, disponibilidad y confidencialidad. Tradicionalmente los esfuerzos de las áreas corporativas de seguridad informática o sus equivalentes se centraban en proteger a la información mientras permanecía en los sistemas de la compañía. Esta tarea no resulta para nada trivial y demanda una evolución constante del sistema de control implementado a medida que las amenazas crecen en complejidad y variedad. La fuga de información en una empresa siempre ha existido como riesgo; listas de precios y clientes, especificaciones técnicas o cualquier otro tipo de documentación interna han sido codiciadas por la competencia y protegidas con mayor o menor éxito. Con la completa digitalización de la información y la aparición de medios masivos de almacenamiento de gran tamaño y conexiones a Internet para todos los empleados el riesgo ha crecido exponencialmente. Ya no se requiere el acceso físico a expedientes en formato físico o la generación de copias en papel que eran actividades mucho más evidentes y riesgosas. Además, la realización de estas tareas implicaba que quién estaba copiando esta información lo estaba haciendo de una manera consciente y razonada. Hoy en día, con el crecimiento de la información generada por una compañía, un empleado puede incluso tener dificultades para diferenciar qué es información confidencial o propietaria y qué no lo es. Es por eso que es fundamental para toda compañía moderna implementar un plan de prevención de fuga de la información basado fuertemente en un proceso continuo de identificación y clasificación de la información. Una vez que se ha implementado este proceso de identificación y clasificación de la información y existe un marco normativo que lo respalda puede pensarse en encarar un proceso de prevención de fuga de la información. En otras palabras, es imposible pretender proteger aquello que no se ha identificado y rotulado como información confidencial. Ahora bien, una vez que este proceso está en marcha y existen controles y alertas para detectar actividades con información confidencial: ¿Cómo analizamos si realmente alguien extrajo documentación sensible fuera de la compañía? Todo análisis forense pretende obtener la evidencia necesaria que permita generar una cronología de cómo sucedieron los hechos a partir del análisis de las acciones realizadas en los sistemas con los que interactuó la persona que extrajo la información. Lo ideal es poder determinar una serie de acciones realizadas enunciada de la manera menos técnica posible de manera que las personas sin conocimientos forenses puedan entender qué sucedió. Por supuesto estas afirmaciones deberán estar respaldada técnicamente por un análisis forense detallado que se anexa a las conclusiones y que puede ser reproducido por cualquiera de las partes interesadas. Desde ya hace muchos años, no existe tal cosa como un análisis forense completo. Es decir, no se analizan todos los artefactos forenses e información presentes en el sistema sino sólo aquellos que nos permiten encontrar las respuestas a las preguntas surgidas de la investigación que se está llevando a cabo. Ahora bien, en la mayoría de los casos las preguntas varían de un análisis a otro, con una excepción: la de los análisis de fuga de información. En ellas las preguntas son siempre las mismas: * ¿Se extrajo información corporativa? ¿Cuál? * ¿Desde qué repositorios corporativos se copió? * ¿Qué métodos se utilizaron para su extracción? Es por eso que resulta posible automatizar la extracción de los artefactos forenses y su pre-procesamiento para este tipo de casos. El objetivo de este trabajo es identificar los artefactos forenses disponibles en un equipo basado en Windows 10 que nos dan indicios de extracción de información confidencial, su estructura, cómo se analizan y cómo se correlacionan con las actividades realizadas por el usuario de ese equipo. Para ello se analizarán las posibles formas de extraer información desde un equipo ubicado en una red interna corporativa y, a partir de esa información, se identificarán que artefactos forenses quedan en el equipo como resultado de esas acciones. Además, se presentará un método para automatizar la extracción y el procesamiento de estos artefactos ante la necesidad de realizar este tipo de revisiones en forma repetitiva.| Tipo de ítem | Biblioteca actual | Ubicación en estantería | Signatura | Estado | Fecha de vencimiento | Código de barras |
|---|---|---|---|---|---|---|
04 - Tesis de Posgrado
|
Sede Central | Biblioteca Digital | Disponible |
Trabajo Final de Maestría.-- (Maestría en Seguridad Informática), 2021 Magister en Seguridad Informática Universidad de Buenos Aires. Facultad de Ciencias Económicas 2021 Maestría en Seguridad Informática
La información constituye uno de los principales activos de las empresas y como tal se encuentra expuesta a múltiples amenazas que ponen en riesgo su integridad, disponibilidad y confidencialidad.
Tradicionalmente los esfuerzos de las áreas corporativas de seguridad informática o sus equivalentes se centraban en proteger a la información mientras permanecía en los sistemas de la compañía. Esta tarea no resulta para nada trivial y demanda una evolución constante del sistema de control implementado a medida que las amenazas crecen en complejidad y variedad.
La fuga de información en una empresa siempre ha existido como riesgo; listas de precios y clientes, especificaciones técnicas o cualquier otro tipo de documentación interna han sido codiciadas por la competencia y protegidas con mayor o menor éxito. Con la completa digitalización de la información y la aparición de medios masivos de almacenamiento de gran tamaño y conexiones a Internet para todos los empleados el riesgo ha crecido exponencialmente.
Ya no se requiere el acceso físico a expedientes en formato físico o la generación de copias en papel que eran actividades mucho más evidentes y riesgosas. Además, la realización de estas tareas implicaba que quién estaba copiando esta información lo estaba haciendo de una manera consciente y razonada. Hoy en día, con el crecimiento de la información generada por una compañía, un empleado puede incluso tener dificultades para diferenciar qué es información confidencial o propietaria y qué no lo es. Es por eso que es fundamental para toda compañía moderna implementar un plan de prevención de fuga de la información basado fuertemente en un proceso continuo de
identificación y clasificación de la información.
Una vez que se ha implementado este proceso de identificación y clasificación de la información y existe un marco normativo que lo respalda puede pensarse en encarar un proceso de prevención de fuga de la información. En otras palabras, es imposible pretender proteger aquello que no se ha identificado y rotulado como información confidencial.
Ahora bien, una vez que este proceso está en marcha y existen controles y alertas para detectar actividades con información confidencial: ¿Cómo analizamos si realmente alguien extrajo documentación sensible fuera de la compañía?
Todo análisis forense pretende obtener la evidencia necesaria que permita generar una cronología de cómo sucedieron los hechos a partir del análisis de las acciones realizadas en los sistemas con los que interactuó la persona que extrajo la información. Lo ideal es poder determinar una serie de acciones realizadas enunciada de la manera menos técnica posible de manera que las personas sin conocimientos forenses puedan entender qué sucedió. Por supuesto estas afirmaciones deberán estar respaldada técnicamente por un análisis forense detallado que se anexa a las conclusiones y que puede ser reproducido por cualquiera de las partes interesadas.
Desde ya hace muchos años, no existe tal cosa como un análisis forense completo. Es decir, no se analizan todos los artefactos forenses e información presentes en el sistema sino sólo aquellos que nos permiten encontrar las respuestas a las preguntas surgidas de la investigación que se está llevando a cabo. Ahora bien, en la mayoría de los casos las preguntas varían de un análisis a otro, con una excepción: la de los análisis de fuga de información. En ellas las preguntas son siempre las mismas:
* ¿Se extrajo información corporativa? ¿Cuál?
* ¿Desde qué repositorios corporativos se copió?
* ¿Qué métodos se utilizaron para su extracción?
Es por eso que resulta posible automatizar la extracción de los artefactos forenses y su pre-procesamiento para este tipo de casos.
El objetivo de este trabajo es identificar los artefactos forenses disponibles en un equipo basado en Windows 10 que nos dan indicios de extracción de información confidencial, su estructura, cómo se analizan y cómo se correlacionan con las actividades realizadas por el usuario de ese equipo.
Para ello se analizarán las posibles formas de extraer información desde un equipo ubicado en una red interna corporativa y, a partir de esa información, se identificarán que artefactos forenses quedan en el equipo como resultado de esas acciones.
Además, se presentará un método para automatizar la extracción y el procesamiento de estos artefactos ante la necesidad de realizar este tipo de revisiones en forma repetitiva.
Español.
No hay comentarios en este titulo.