Framework para análisis forense de redes de datos y comunicaciones.

Abstract

El análisis forense de redes es una de las subramas del ANÁLISIS FORENSE DIGITAL donde los datos que se analizan son el tráfico de la red que va y viene del sistema bajo observación. Los propósitos de este tipo de observación son recopilar información, obtener evidencia legal, establecer un análisis de la causa raíz de un evento, analizar el comportamiento del malware, entre otros. Los profesionales familiarizados con el análisis forense digital y la respuesta a incidentes (DFIR) saben que incluso los sospechosos más cuidadosos dejan rastros y artefactos. Pero la ciencia forense generalmente también incluye imágenes de los sistemas para la memoria y los discos duros, que se pueden analizar más adelante. Entonces, ¿cómo entra en escena el análisis forense de redes? ¿Por qué necesitamos realizar análisis forenses de redes? Bueno, la respuesta a esta pregunta es relativamente simple. Consideremos un escenario en el que estás buscando a algunos atacantes desconocidos en una infraestructura corporativa que contiene miles de sistemas. En tal caso, sería prácticamente imposible obtener imágenes y analizar todos los sistemas. Los siguientes dos escenarios también serían problemáticos: Instancias en las que las unidades de disco pueden no estar disponibles, Casos en los que el ataque está en curso y es posible que no desee alertar al o los atacantes. Siempre que ocurra una intrusión o un delito digital a través del cable, si tuvo éxito o no, los artefactos dejados atrás pueden ayudarnos a comprender y recrear no solo la intención del ataque, sino también las acciones realizadas por los atacantes. (Jaswal, 2019)