Preparación

En esta fase varias herramientas de seguridad como sistemas para la detección de intrusos, cortafuegos, analizadores de paquetes y mecanismo para la medición del flujo de tráfico, son desplegados en varios puntos estratégicos en la red. Todos los documentos legales también son requeridos de tal manera no sea violada la privacidad. Un entrenamiento adecuado debe ser proporcionado al personal trabajando en estas fase para poder facilitar la atribución de un crimen. La fase de preparación reduce los costos globales de la investigación

Detección

Esta fase está relacionada con la generación de alertas para las amenazas detectadas. Los anomalías y eventos legítimos son analizados en base a varios parámetros, para luego detectar los ataques. Por una rápida validación el ataque sospechoso es confirmado. En consecuencia se toma una decisión importante para continuar con la investigación y generar una alerta, o ignorar la alerta. Esta etapa se ramifica en dos direcciones, respuesta de incidentes y recolección.

Respuesta de Incidentes

La respuesta al crimen es dependiente de la información capturada para validar y evaluar los incidentes. Una política de la organización se mantiene mientras se responde al ataque. La respuesta también depende del tipo de ataque identificado. Mientras tanto, se toma una decisión ya sea para continuar con la investigación u obtener más información. Un importante criterio para responder a un incidente mientras realiza el análisis forense de red, es asegurarse los datos siendo recolectados como evidencia no estén alterados u obstruidos.

Recolección

Los datos se adquieren desde los sensores utilizados para recolectar los datos del tráfico. Los sensores utilizados deben ser seguros, tolerante a fallas, tener acceso limitado, y ser capaces de evitar su compromiso. Un buen procedimiento definido utilizando hardware y herramientas de software fiables, deben ser utilizados para obtener la mayor cantidad de evidencia causando el mínimo impacto en la victima La red debe ser vigilada para identificar futuros ataques. La integridad de los datos registrados y eventos de la red registrados deben ser asegurados. Esta fase es muy significativa, pues los datos de tráfico cambian rápidamente, y no es posible generar el mismo rastro un tiempo después. Debido a la enorme cantidad de datos registrados, se requiere un gran espacio de memoria, y los sistemas deben ser versátiles en naturaleza además de ser capaces de manejar diferentes formatos de datos para el registro de datos adecuadamente.

Preservación

Los rastros y registros recolectados son almacenados en dispositivos para respaldo, como un medio de únicamente lectura. Un hash de todos los rastros es preservado. El análisis es realizado sobre la copia de los datos, y los datos originales se mantienen intactos. Este paso es realizado para probar la investigación cuando el proceso sea repetido sobre los datos originales, para facilitar los requerimientos legales

Examen

Los rastros se integran y fusionan como un gran conjunto de datos sobre el cual se realiza el análisis. Pueden haber algunos problemas como información redundante o zonas horarias superpuestas, los cuales necesitan una adecuación. Las alertas desde varias fuentes pueden ser contradictorias. Sin embargo, este proceso necesita ser hecho de tal manera información crucial desde fuentes importantes no se pierda. Los datos recolectados son clasificados y reunidos en grupos, para el volumen de datos almacenado pueda ser reducido hacia partes manejables. Es fácil analizar grandes grupos de datos organizados. La evidencia recolectada es buscada metodológicamente para extraer indicadores específicos del crimen. Los atributos mínimos seleccionados del ataque deben ser tan creíbles, de tal manera la menor información registrada contenga la mayor evidencia probable. Se realiza retroalimentación para mejorar los herramientas de seguridad.

Análisis

Esta fase realiza el análisis de los datos utilizando diversas perspectivas como minería de datos como ANN, fuzzy, algoritmos genéticos (GA), y computación estadística para buscar patrones de ataque en los datos. Algunos de los parámetros críticos están relacionados con el establecimiento de conexiones de red, consultas DNS, fragmentación de paquetes, protocolo, y huella del sistema operativo. Los patrones de ataque son reconstruidos y reproducidos para entender la intención y metodología del atacante. Se realiza retroalimentación para mejorar los herramientas de seguridad.

Investigación

La investigación se realiza para determinar la ruta desde la red victima o sistema, a través de los sistemas intermedios y vías de comunicación de retorno hacia el punto origen del ataque. Las estadísticas de los paquetes son obtenidos para la atribución del ataque. Esta fase puede requerir algunas características adicionales a la fase de análisis, y por lo tanto estas dos fases son realizadas iterativamente para llegar a una conclusión. La atribución es establecer la identidad del atacante y es lo más difícil en el forense de redes. La fase de investigación proporciona datos para la respuesta de incidentes y persecución del atacante.

Presentación

Las observaciones son presentadas en un lenguaje comprensible para el personal legal, mientras proporciona una explicación de los diversos procedimientos utilizados para llegar a la conclusión. Deben cumplirse los requerimientos legales, y debe ser presentada una documentación sistemática a las autoridades. Los hallazgos también son presentados utilizando visualización, de tal manera sean fácilmente comprendidos. Los datos estadísticos son interpretados en apoyo a las conclusiones obtenidas. Se realiza un revisión exhaustiva del incidente, y se recomiendan medidas correctivas para prevenir incidentes similares a futuro. El caso completo es documentado para influenciar futuras investigaciones, y proporciona retroalimentación para guiar en el despliegue y mejora de productos de seguridad. El proceso concluye el análisis forense de redes, pues la información presentada resulta en la persecución del atacante.

Fuentes:

https://www.semanticscholar.org/paper/Network-forensic-frameworks%3A-Sur...
http://www.reydes.com/d/?q=Modelo_de_Proceso_Generico_para_el_Forense_de...