10
Nov, 2024

SdA: Estrategia de Backup para la empresa Tech Consulting

Ámbito

Esta situación de aprendizaje está diseñada para trabajar el RA2 del módulo de Seguridad Informática del ciclo de grado medio Sistemas Microinformáticos y Redes.

Propósito

Su propósito principal es conocer todo el proceso de análisis y puesta en marcha de una estrategia de backup, así como su implementación práctica.

Descripción del problema

TechConsulting es una empresa de consultoría tecnológica que gestiona proyectos de desarrollo de software para empresas de diferentes sectores. La compañía dispone de varias áreas funcionales: comercial (CRM para clientes), proyectos (almacena documentos técnicos y código fuente), finanzas (sistema ERP), y soporte (gestión de tickets). La información de cada área es crítica para su modelo de negocio.

Sistemas de información de la empresa:
  • CRM (comercial): 300 GB de datos, con acceso frecuente. Disponibilidad alta (RTO de 2 horas), y la tolerancia a pérdida de datos (RPO) es de máximo 15 minutos, debido a la actualización constante de información de clientes.
  • ERP (finanzas): 500 GB de datos, uso intensivo a fin de mes. Disponibilidad media-alta (RTO de 4 horas) y RPO de 1 día. Sensible, requiere cifrado debido a datos financieros.
  • Proyectos: 1 TB de datos, acceso continuo a archivos de código y documentación técnica. Disponibilidad muy alta (RTO de 1 hora) y RPO de 10 minutos. Gran parte de los datos requieren compatibilidad con sistemas Linux y Windows.
  • Soporte (tickets): 150 GB de datos, menos crítico. Disponibilidad media (RTO de 6 horas) y RPO de 1 día.
Requisitos de Cumplimiento y Regulación:
  • GDPR aplicable a los datos del CRM y soporte al cliente.
  • Todos los datos deben mantenerse durante 5 años, tras lo cual deben eliminarse de manera segura.
Presupuesto y Recursos Disponibles:
  • Presupuesto moderado, con opciones para implementar tanto almacenamiento en NAS local como en la nube.
  • Hardware actual: un NAS de 12 TB en RAID 6 y espacio en una plataforma de nube con capacidad de 5 TB.
  • Personal TI con habilidades básicas en configuración de almacenamiento y redes.
Ventana de Backup y Factores Adicionales:
  • La ventana de backup recomendada es de 8:00 PM a 4:00 AM.
  • Frecuencia de backups: se requiere una combinación de backups completas semanales y parciales diarias.
  • Compatibilidad: Acceso multiplataforma, especialmente entre sistemas Windows y Linux para archivos de proyectos.
  • Opciones de crecimiento: Se espera un aumento de datos anual del 15%.

Tareas a desarrollar

  1. Análisis de los factores que influyen en la elección de los medios de almacenamiento y en la estrategia de backup.
  2. Propuesta justificada de los medios de almacenamiento.
  3. Diseño de una estrategia de backup.
  4. Implementación y configuración de la estrategia mediante el software elegido.

Rellena toda la información requerida por esta plantilla de documento para resolver las tareas propuestas.

Entrega

Se debe aportar un enlace al documento que contenga toda la información necesaria para que tu entrega sea evaluada de acuerdo a la rúbrica.

Requisitos generales de esta tarea

  • No olvides que es importante que aparezca información en las capturas de pantalla que permita identificarte (nombre de usuario o similar).
  • Las imágenes deben tener suficiente resolución para que se visualicen los detalles con facilidad

Instrumentos de evaluación

Recursos

Aquí tienes algunos comandos útiles para completar esta tarea:

  • tar: Permite realizar backups de archivos y carpetas, comprimirlas, etc.
  • cron: Permite programar tareas para que se ejecuten cada cierto tiempo
  • rclone: Permite hacer copias remotas en diferentes servicios como Google Drive.
  • rsync: Permite hacer copias remotas en máquinas remotas.
  • scp: Permite hacer copias remotas sobre el servicio SSH.
5
Nov, 2024

SdA: Análisis forense

Propósito

Aprender a usar algunas herramientas de análisis forense y adquirir una visión general de esta disciplina de la ciberseguridad.

    Descripción de la tarea

    La directora del instituto nos pide ayuda, ya que sospecha que su ordenador puede estar comprometido. Ha recibido un correo con un documento adjunto que al abrirlo ha tenido un comportamiento anómalo. Se ha realizado una captura de la memoria RAM del ordenador para hacer un análisis de la memoria RAM y decidir si vale la pena invertir más tiempo en un análisis completo de dicho dispositivo.

    Te asignan la tarea de realizar el análisis de la memoria RAM, y te entregan el fichero imagen y el valor hash de adquisición de la evidencia:

    Descarga el volcado de la memoria RAM

    MD5: 8b6db9159b6e616a9711e0340d745f4e

    El análisis lo llevarás a cabo mediante la herramienta Volatility. Puedes encontrar más información sobre el uso de Volatility en este enlace.

    Para instalarla puedes usar los siguientes comandos:

    cd
git clone https://github.com/volatilityfoundation/volatility3
cd volatility3/
wget https://downloads.volatilityfoundation.org/volatility3/symbols/windows.zip
mv windows.zip volatility3/symbols
unzip volatility3/symbols/windows.zip
./vol.py

    Nota: Con el último comando podéis verificar si la versión que se está ejecutando es la 3.0.

    Una vez descargado el programa, debes instalar los requerimientos, podrás ejecutar la herramienta desde la línea de comandos de tu sistema operativo.

    pip3 install yara-python
pip3 install pycrypto
pip3 install pefile

    También puede utilizar alguna distribución forense como Caine

    Resuelve las siguientes cuestiones:

    1. Antes de empezar el análisis, comprueba la integridad del fichero imagen de la memoria RAM.
    2. ¿Con que software se realizó la adquisición de memoria RAM? ¿En qué fecha y hora crees se ha realizado la captura?
    3. Determina la edición y versión de Windows que tiene instalado el sistema operativo del ordenador sobre el cual se ha efectuado la captura de la memoria RAM.
    4. Encuentra los procesos en funcionamiento y localiza aquellos que te parezcan de interés para el análisis forense del ordenador analizado.
    5. Extrae los procesos que consideres sospechosos y analízalos con Virustotal, ¿hay algún ejecutable considerado malicioso?
    6. Lista las conexiones de red, ¿ves conexiones sospechosas?
    7. ¿Cuál es la importancia del protocolo NTP (Network Time Protocol) en la respuesta a incidentes de seguridad?
    8. Desde el punto de vista forense, ¿por qué es necesario aislar un terminal de telefonía móvil de la red? ¿De qué maneras distintas se puede realizar este proceso? Puedes ayudarte de la guía del NIST la podéis encontrar en este enlace.

    Entrega

    Elabora una presentación en la que resuelvas las cuestiones planteadas y demuestres mediante captura de pantalla cómo la has resuelto.

    Requisitos:

    • Las capturas de pantalla han de contener información que te identifique (nombre de usuario) para demostrar la autoría del trabajo.
    • Cada diapositiva debe incluir una única captura de pantalla para que se visualice con suficiente claridad el contenido.
    • Cada diapositiva debe contener un título descriptivo que haga referencia a la cuestión resuelta

    Criterios de evaluación y calificación

    Anexo: Ayuda para resolver la tarea.

    Glosario de comandos de Volatility

    A continuación, se indican algunos comandos básicos para responder el ejercicio, seguramente vas a requerir otros comandos para obtener información:

    V2V3
    imageinfowindows.info
    pslistwindows.pslist
    psscanwindows.psscan
    pstreewindows.pstree
    hivelistwindows.registry.hivelist
    printkeywindows.registry.printkey
    procdumpwindows.pslist — pid <ID> –dump
    netscanwindows.netscan

    Puedes encontrar una guía del uso de los comandos en este enlace:

    Para poder identificar un comportamiento malicioso primero tienes que conocer cuál es un comportamiento normal, y después buscar diferencias entre lo normal y lo que se va a analizar.

    Para lo anterior te puede ser útil el descargar el poster DFIR «Hunt Evil» de esta URL.

    Una vez conoces lo que es normal, es bueno conocer alguna metodología que guíe tus pasos, te proponemos seguir.