¿Cómo se hace una investigación forense de redes sin conocimiento previo?

OK. Prometo que no estoy tratando de ser cruel con esto.

Parafraseando la pregunta: ¿cómo hago para realizar análisis forenses sin experiencia previa?

No. En serio. Hay libros ficticios disponibles que abordarán los aspectos básicos y hay una serie de sitios web que lo guiarán a través de situaciones comunes, pero para realizar cualquier análisis forense defendible, necesitará la capacitación y la documentación adecuadas.

Hasta el punto de ', esto no ha sido calificado como una verdadera "investigación forense" '; tal vez no lo haya hecho, pero podría y existe una posibilidad muy real de que pueda alterar los datos probatorios en su análisis. Si esto se convierte en una investigación "real", es posible que se encuentre en una mala situación.

-IF- entiendes por escrito que esto nunca se moverá hacia un problema legal, con una indemnización completa para ti, luego toma una copia de Computer Forensics for Dummies y te lo pasas bien.

Una investigación forense implica la preservación de datos para la aplicación de la ley en el futuro, no suena como que se le está pidiendo que haga eso, sino que parece que se le está pidiendo que investigue y resuelva los problemas de seguridad en su red que están causando problemas. Eso es solo una simple reseña. Si esperan que realices una investigación forense genuina, dile que no, que no estás preparado para ello y que podrías meterte en problemas si lo haces mal.

En cuanto a lo que implicará y cuánto tiempo tomará, no se pueden responder, ya que hay demasiadas dependencias. Si puede lograrlo en absoluto depende de si su compañía está realmente capturando los datos que necesita.

Me acercaría a esto por:

1. obtener una lista de las fuentes de datos de seguridad disponibles: registros, sistemas IDS / IPS
2. obtenga una lista de eventos: ¿cuándo piensan las personas que ocurrieron estos hechos extraños? ¿Qué más estaba pasando en ese momento? ¿Se pueden vincular los extraños sucesos? Por ejemplo, ¿alguien dejó la compañía en el momento en que empezaron a suceder cosas raras?
3. solicite la asistencia de especialistas técnicos para que lo ayuden a analizar todo. Utilícelos para detallar lo que pudo haber causado los problemas. Si no tiene experiencia en las tecnologías, necesitará su ayuda, y lo mejor para ellos es ayudarlo a resolver los problemas. Pídales que traduzcan las posibilidades técnicas en consultas procesables que puede usar para buscar pistas en sus fuentes de datos
4. Posibilidades de mapeo a las fuentes de datos y tiempos: simplemente mirando los registros sobre el momento en que "las cosas empezaron a suceder" es poco probable que fructifique, necesita saber lo que está buscando. Utilice las consultas que sus especialistas técnicos desarrollaron para enfocar la búsqueda

Permítame ayudarlo si estuviera en su lugar. Iría a preguntar a los administradores de dispositivos de red sobre los cambios recientes y las demandas de revisión de los procedimientos de control de acceso y administración de contraseña. Los síntomas que está detectando son normales, considerando el ritmo y las operaciones de una organización. No necesitas forenses a menos que tus cajas hayan sido propiedad de un gusano inteligente que está prácticamente ausente en los vectores de ataque actuales contra los dispositivos de red de primera línea, a menos que estemos hablando de cosas hechas en China zte o huwaei.

Si desea obtener una ganancia rápida, coloque una buena casilla de identificación delante del núcleo. Deje que vea todo el tráfico si elige algo relacionado con sus síntomas de ataque.

Lo mejor que puedes hacer es obtener una lista de todos los usuarios privilegiados de cada dispositivo de red. Valide esa lista con el jefe de Operaciones de red o con quien esté a cargo de la red. Finalmente, forzar un cambio de contraseña para todas las cuentas, incluidas las cuentas administrativas integradas.