Lunes a Vienes 9:00 a 17:00 hrs
indigitoz@gmail.com
+52 5541401804

RFC 3227

13.03.2024

Los RFC «Request For Comments» son documentos que recogen propuestas de expertos en una materia concreta, con el fin de establecer por ejemplo una serie de pautas para llevar a cabo un proceso, la creación de estándares o la implantación de algún protocolo. El RFC 3227 es un documento que recoge las directrices para la recopilación de evidencias y su almacenamiento, y puede llegar a servir como estándar de facto para la recopilación de información en incidentes de seguridad.

Estos son los puntos más importantes relacionados con dicho proceso:

Principios durante la recolección de evidencias

  • Capturar una imagen del sistema tan precisa como sea posible.
  • Realizar notas detalladas, incluyendo fechas y horas indicando si se utiliza horario local o UTC.
  • Minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo.
  • En el caso de enfrentarse a un dilema entre recolección y análisis elegir primero recolección y después análisis.
  • Recoger la información según el orden de volatilidad (de mayor a menor).
  • Tener en cuenta que por cada dispositivo la recogida de información puede realizarse de distinta manera.

  • 1.- Orden de volatilidad

    El orden de volatilidad hace referencia al período de tiempo en el que está accesible cierta información. Es por ello que se debe recolectar en primer lugar aquella información que vaya a estar disponible durante el menor período de tiempo, es decir, aquella cuya volatilidad sea mayor.

    De acuerdo a esta escala se puede crear la siguiente lista en orden de mayor a menor volatilidad:

    • Registros y contenido de la caché.
    • Tabla de enrutamiento, caché ARP, tabla de procesos, estadísticas del kernel, memoria.
    • Información temporal del sistema.
    • Disco
    • Logs del sistema.
    • Configuración física y topología de la red.
    • Documentos.
  • 2.- Acciones que deben evitarse

    Se deben evitar las siguientes acciones con el fin de no invalidar el proceso de recolección de información ya que debe preservarse su integridad con el fin de que los resultados obtenidos puedan ser utilizados en un juicio en el caso de que sea necesario:

    • No apagar el ordenador hasta que se haya recopilado toda la información.
    • No confiar en la información proporcionada por los programas del sistema ya que pueden haberse visto comprometidos.
    • No ejecutar programas que modifiquen la fecha y hora de acceso de todos los ficheros del sistema.
  • 3.- Consideraciones sobre la privacidad
    • Es muy importante tener en consideración las pautas de la empresa en lo que a privacidad se refiere. Es habitual solicitar una autorización por escrito de quien corresponda para poder llevar a cabo la recolección de evidencias. Este es un aspecto fundamental ya que puede darse el caso de que se trabaje con información confidencial o de vital importancia para la empresa, o que la disponibilidad de los servicios se vea afectada.
    • No hay que entrometerse en la privacidad de las personas sin una justificación. No se deben recopilar datos de lugares a los que normalmente no hay razón para acceder, como ficheros personales, a menos que haya suficientes indicios.

Share
Indigitoz, Ecatepec, Edomex.
(+52) 55 4140 1804
Creado con Webnode
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar