A identificação de atividades maliciosas é um dos principais objetivos, que visa avaliar possíveis ataques cibernéticos, ação de malwares e exfiltração de dados. Para tal, é fundamental recolher e preservar dados de forma segura, analisar registos, pacotes e fluxos de rede para rastrear atividades suspeitas.
Com dados de várias fontes, é fundamental também relacionar diferentes registos para compreender a origem e o impacto do incidente. Caso haja informações apagadas ou manipuladas, é importante tentar restaurar.
Principais Técnicas e Ferramentas para análise forense em redes de comunicação
No que diz respeito a ferramentas e técnicas, existem várias. Aqui fica uma lista das mais conhecidas.
- Captura e Análise de Tráfego
- Wireshark, tcpdump – Monitorização e inspeção de pacotes de rede.
- Análise de Registos (Logs)
- Splunk, ELK Stack – Análise centralizada de registos de sistemas e dispositivos.
- Deteção de Intrusões
- Snort, Suricata – Sistemas de prevenção e deteção de ataques.
- Análise de Malware
- Cuckoo Sandbox, YARA – Estudo do comportamento de software malicioso.
- Reconstrução de Sessões
- Recriação de comunicações para entender o contexto do ataque.