Network forensics è l’analisi del traffico di rete per raccogliere informazioni utilizzate nelle indagini interne e legali. Oltre ad essere utilizzato per scopi investigativi, il network forensics è anche uno strumento per il rilevamento e l’intercettazione di intrusi utilizzato per la sicurezza del sistema. Esistono numerose tecniche in uso per intercettare i dati, utilizzando una varietà di dispositivi per raccogliere tutti i dati che si muovono attraverso una rete o identificare pacchetti di dati selezionati per ulteriori indagini. Per un’analisi forense accurata e produttiva di una rete sono necessari computer con elevate velocità di elaborazione e grandi volumi di spazio di archiviazione.
Poiché i sistemi informatici si sono spostati sempre più verso le reti negli anni ‘1990 e l’Internet domestico è diventato onnipresente in molte comunità, l’interesse per la rete forense è aumentato e numerose aziende hanno iniziato a produrre prodotti e ad offrire servizi nel settore della rete forense. I fornitori di servizi Internet, le forze dell’ordine e le società di sicurezza utilizzano tutti questi strumenti, ed è anche impiegato dal personale informatico per la sicurezza nelle strutture in cui vengono gestite le informazioni sensibili.
In Network Forensics, quando i dati si spostano attraverso una rete, vengono acquisiti e analizzati. Gli analisti cercano qualsiasi attività insolita e sospetta e possono identificare particolari computer o persone di interesse per indagini più approfondite. Nel caso delle forze dell’ordine, le indagini possono essere condotte allo scopo di raccogliere prove da utilizzare in tribunale, nonché le indagini in corso. Le indagini interne possono utilizzare la rete forense per identificare le fonti di fughe di informazioni e potenziali compromissioni della sicurezza in un sistema.
Il rilevamento degli intrusi con la rete forense può essere parte di uno schema di sicurezza per un’azienda. I sistemi automatizzati cercano traffico sospetto e avvisano il personale addetto alla sicurezza e, in alcuni casi, tali sistemi possono intervenire automaticamente per bloccare l’accesso a informazioni sensibili o per espellere del tutto le persone dalla rete. Questo approccio proattivo alla sicurezza consente alle reti e ai sistemi di computer di rispondere dinamicamente alle minacce.
I governi hanno iniziato a spingere per aumentare l’accesso alle reti di computer allo scopo di accedere e analizzare i dati negli anni 2000. Lo sviluppo di dispositivi e sistemi conformi alle intercettazioni telefoniche è stato sostenuto da alcune forze dell’ordine con l’obiettivo di utilizzare la rete forense per identificare potenziali minacce alla sicurezza, che vanno dall’attività terroristica sulle reti di computer alle prove di attività criminali. I criminali si sono rivolti a Internet per organizzare attività offline e per condurre attacchi sulle reti negli anni ‘1990 e molti governi si sono sentiti impotenti nell’interdire le informazioni e rispondere senza un ampio quadro per l’intercettazione delle informazioni in atto.