Che cos'è Network Forensics?
Network forensics è l'analisi del traffico di rete per raccogliere informazioni utilizzate nelle indagini interne, oltre che legali. Oltre ad essere utilizzato a fini investigativi, la rete forense è anche uno strumento per il rilevamento e l'intercettazione degli intrusi utilizzato per la sicurezza del sistema. Esistono diverse tecniche in uso per intercettare i dati, utilizzando una varietà di dispositivi per raccogliere tutti i dati che si spostano attraverso una rete o identificare pacchetti di dati selezionati per ulteriori indagini. Per un'analisi forense accurata e produttiva di una rete sono necessari computer con elevate velocità di elaborazione e elevati volumi di spazio di archiviazione.
Man mano che i sistemi informatici si spostavano sempre più verso le reti negli anni '90 e Internet domestico divenne onnipresente in molte comunità, l'interesse per la medicina legale di rete aumentò e numerose aziende iniziarono a fabbricare prodotti e offrire servizi nel settore della rete forense. I fornitori di servizi Internet, le forze dell'ordine e le società di sicurezza utilizzano tutti questi strumenti ed è anche impiegato dal personale IT per la sicurezza nelle strutture in cui vengono gestite informazioni sensibili.
Nella rete forense, mentre i dati si spostano attraverso una rete, vengono acquisiti e analizzati. Gli analisti cercano attività insolite e sospette e possono identificare particolari computer o persone di interesse per un'indagine più approfondita. Nel caso delle forze dell'ordine, possono essere condotte indagini allo scopo di raccogliere prove da utilizzare in tribunale, nonché indagini in corso. Le indagini interne possono utilizzare le analisi forensi della rete per identificare fonti di perdite di informazioni e potenziali compromessi di sicurezza in un sistema.
Il rilevamento di intrusioni con analisi forensi della rete può far parte di uno schema di sicurezza per un'azienda. I sistemi automatizzati cercano traffico sospetto e avvisano il personale addetto alla sicurezza e, in alcuni casi, tali sistemi possono intervenire automaticamente per bloccare l'accesso a informazioni riservate o dare il via completamente alle persone dalla rete. Questo approccio proattivo alla sicurezza consente alle reti e ai sistemi di computer di rispondere dinamicamente alle minacce.
I governi hanno iniziato a spingere per aumentare l'accesso alle reti di computer allo scopo di accedere e analizzare i dati negli anni 2000. Lo sviluppo di dispositivi e sistemi compatibili con la tecnologia wire-tap è stato sostenuto da alcune forze dell'ordine con l'obiettivo di utilizzare le analisi forensi della rete per identificare potenziali minacce alla sicurezza, che vanno dall'attività terroristica sulle reti informatiche alla prova di attività criminale. I criminali si sono rivolti a Internet per l'organizzazione di attività offline, nonché per aver condotto attacchi contro le reti negli anni '90 e molti governi si sono sentiti impotenti per interdire le informazioni e rispondere senza un ampio quadro per l'intercettazione delle informazioni in atto.