Quienes están familiarizados con el forense de computadoras, conocen aquellos artefactos dejados por incluso los sospechosos más cuidadosos. El borrar datos frecuentemente no borra verdaderamente nada, y limpiar evidencia deja también algo. Incluso las protecciones criptográficas pueden ser derrotadas si el sistema realizando la encriptación no es diligentemente limpiado, incluyendo RAM y archivos de paginación. Desafortunadamente el sistema utilizado o tocado por un actor malicioso no siempre está disponible, o tal vez por otra razón no es factible acceder al sistema por miedo a alertar al atacante sobre la existencia de una investigación.

Cuando una máquina es atacada, o de otra manera accedida a través de la red, ya sea o no el intento fue exitoso, existen rastros dejados los cuales pueden ayudar en la reconstrucción de las intenciones o propósitos del atacante. Incluso si sus tácticas, técnicas, y procedimientos fueron inefectivas, se podría estar en la capacidad de generar inteligencia valiosa para ayudar a entender sus motivaciones, capacidades, y probables siguientes movimientos.

¿Qué sucede si el ataque fue exitoso?. ¿Qué ocurrió después?. Frecuentemente en el caso de ataques avanzados como espionaje industrial o amenazas foráneas, como actores APT, la intrusión inicial es solamente el inicio de un largo periodo de tiempo de inactividad, lo cual incluye una profunda, y penetrante presencia sobre la red. Si se identifica el atacante utilizó credenciales de dominio en un intento de moverse lateralmente dentro del entorno de red con diez mil hosts, ¿Qué hacer a continuación?. ¿Qué sucede si se conocen los sistemas en un entorno no están configurados para generar suficientes datos sobre registros de eventos para conocer las acciones del atacante?.

Cada transacción de red potencialmente toca docenas de dispositivos y puntos para observación. Puede ser utilizado Wireshark, captura de paquetes, IDSs, o proxys, y datos registrados desde switches, routers, firewalls, y otros componentes para infraestructura podrían haber generado datos registrados valiosos. Con el entrenamiento adecuado, herramientas, y técnicas, este desafío de contención retador puede ser más manejable de lo cual se piensa.

Frecuentemente uno de los retos más grandes enfrentando por los profesionales forense de redes, esta en emplazar y manejar los sistemas para continuamente recolectar datos antes de percatarse se necesitan. A diferencia de un disco duro, el cable por si solo no recuerda nada. Una vez los datos son recolectados y están disponibles, esto es un verdadero tesoro. Incluso con paquetes capturados a largo plazo o datos recolectados con Wireshark, un profesional experimentado podría considerar el alcance completo de la evidencia disponible para llenar cualquier vacío en la hipótesis cuando sea posible.

Fuentes:

https://en.wikipedia.org/wiki/Network_forensics