O que é Network Forensics?
Análise forense de rede é a análise do tráfego de rede para coletar informações usadas em investigações internas e jurídicas. Além de ser usado para fins de investigação, o forense de rede também é uma ferramenta para detecção e interceptação de intrusos utilizados para segurança do sistema. Existem várias técnicas em uso para interceptar dados, usando uma variedade de dispositivos para coletar todos os dados que se movem através de uma rede ou identificar pacotes de dados selecionados para uma investigação mais aprofundada. Computadores com rápidas velocidades de processamento e altos volumes de espaço de armazenamento são necessários para uma análise forense precisa e produtiva de uma rede.
À medida que os sistemas de computador avançavam cada vez mais para as redes na década de 1990 e a Internet doméstica se tornava onipresente em muitas comunidades, o interesse na análise forense de redes aumentou e várias empresas começaram a fabricar produtos e oferecer serviços no setor forense de redes. Os provedores de serviços de Internet, as forças policiais e as empresas de segurança usam todas essas ferramentas e também são empregadas pela equipe de tecnologia da informação para segurança em instalações onde informações confidenciais são tratadas.
No forense da rede, à medida que os dados se movem pela rede, eles são capturados e analisados. Os analistas procuram qualquer atividade incomum e suspeita e podem identificar computadores específicos ou pessoas de interesse para uma investigação mais aprofundada. No caso da aplicação da lei, investigações podem ser conduzidas com o objetivo de coletar evidências a serem usadas em tribunal, bem como investigações em andamento. Investigações internas podem utilizar análise forense de rede para identificar fontes de vazamento de informações e possíveis comprometimentos de segurança em um sistema.
A detecção de intrusos com análise forense de rede pode fazer parte de um esquema de segurança para uma empresa. Os sistemas automatizados procuram tráfego suspeito e alertam a equipe de segurança e, em alguns casos, esses sistemas podem intervir automaticamente para bloquear o acesso a informações confidenciais ou para expulsar completamente as pessoas da rede. Essa abordagem proativa de segurança permite que redes e sistemas de computadores respondam dinamicamente a ameaças.
Os governos começaram a pressionar para aumentar o acesso às redes de computadores com o objetivo de acessar e analisar dados nos anos 2000. O desenvolvimento de dispositivos e sistemas compatíveis com conexão por fio foi defendido por algumas agências policiais com o objetivo de usar a perícia em redes para identificar possíveis ameaças à segurança, desde atividades terroristas em redes de computadores até evidências de atividades criminosas. Os criminosos recorreram à Internet para organizar atividades off-line, além de conduzir ataques por redes na década de 1990 e muitos governos se sentiram impotentes para interditar informações e responder sem uma ampla estrutura de interceptação de informações.