top of page
Search

Investigação Forense

  • Writer: Michael Santos
    Michael Santos
  • Aug 27, 2019
  • 2 min read

No mercado de segurança da informação, investigação forense seria a coleta, análise e apresentação de evidências de um crime computacional à uma corte.


No caso do seu Hospital ou clínica, seriam esses mesmos passos, mas só depois de um incidente hacker ter ocorrido na sua empresa. Vamos supor que roubaram dados dos seus pacientes, 50.000 (que é um número pequeno) por exemplo.


Agora você tem que descobrir quem fez isso, mas você não implementou nem ferramentas, nem pessoal para executar esse serviço. E mesmo que o tenha feito, se tornou necessário chamar alguém que investigue a situação e encontre as causas do problema.


É nessa hora que o Investigador forense entra, ele vai usar softwares e equipamentos forense para reconstruir a "cena do crime" e entender como, quando, e de que forma os hackers conseguiram invadir e exfiltrar dados do seus sistemas.



Com as novas regulamentações de privacidade como a GPDR, e no Brasil a LGPD (Lei de proteção de dados), cada vez mais se faz necessária essa etapa de identificar o que aconteceu, como ocorreu e que medidas foram tomadas para para a prevenção e remediação do ataque.


O investigador ajudará muito à escrever o Pós-mortem, que é um relatório que esquematiza a reconstrução do ataque e as possíveis causas e prevenções que foram e devem ser tomadas.


O processo de investigação é:


1. Coletar evidências


2. Analizar as evidências


3. Validar as evidências (Nem tudo é realmente útil para o caso)


4. Apresentar as evidências


Caso o criminoso seja pego, essas informações serão úteis para a incriminação dele. Mas a coisa mais importante é que a sua empresa não só saberá o que aconteceu como também poderá falar com propriedade para os clientes.


Isso vai deixar eles mais tranquilos, com aquela sensação de "Pelos menos eles sabem o que estão fazendo". E isso é parte da reconstrução do relacionamento com o Cliente/Paciente após um ataque cibernético.


Existem alguns softwares que ajudam a monitoração preventiva contra ataques, e que ajudam na investigação feita pela própria empresa.


Esse é o Azure ATP da Microsoft, nele têm uma parte só de investigação forense na nuvem, isso já dá uma força pra empresa de conseguir já ter uma noção do que está acontecendo sem um investigador.




O Microsoft Security Defender também possui uma parte de investigação de ataques, e deve ser usado na parte de monitoração da rede da empresa. Com isso o investigador pode ter menos trabalho em fazer o seu relatório e em analizar os dados.


Parte da Prevenção da empresa na parte investigativa, deve ser de estar ultilizando ferramentas como essa para acelerar o processo de investigação depois do incidente.


Com isso após a contratação do investigador, no caso de um ataque bem sucedido, a velocidade da recuperação da empresa será astronômico.



 
 
 

Comments

©2019 by levi. Proudly created with Wix.com

bottom of page