La principal motivación proviene directamente de las limitaciones en los enfoques defensivos de la seguridad de las redes, como cortafuegos o sistemas para la detección de intrusiones. Estos puede abarcar los ataques solo desde la perspectiva de la prevención, detección y reacción. La perspectiva alterna del forense de redes se convierte en algo importante, pues involucra también un componente de investigación. El forense de redes asegura un atacante invierta más tiempo y energía cubriendo sus huellas, haciendo sus esfuerzos de ataque más costosos. Los criminales de red se han vuelto más cautos para evitar la persecución por sus acciones ilegales. Esto actúa como un elemento disuasorio, y puede reducir la tasa de crímenes en red, lo cual mejora la seguridad.

El gran número de incidentes de seguridad afectando a muchas organizaciones, y la creciente sofisticación de los ataques cibernéticos, es la principal fuerza impulsora del forense de redes. Los atacantes exitosos frecuentemente se aseguran de cubrir sus huellas. Los ataques no exitosos pasan desapercibidos, y poca información está disponible para ayudar a diagnosticar, incluso cuando son notados. Los proveedores de servicios de Internet (ISP) están también haciéndose responsables por aquello lo cual transita por su red. Las compañías haciendo negocios en Internet no pueden ocultar un brecha de seguridad, y se espera ahora prueben el estado de su seguridad como medida de cumplimiento para fines de regulación.

El estándar ISO 27001 (Information technology - Security techniques - Information security management systems), especifica los requerimientos para establecer, implementar, operar, vigilar, revisar, mantener, y mejorar un sistema de gestión para la seguridad de la información documentado (IMSI), dentro del contexto del riesgo del negocio global para la organización. Se deben mantener datos completos de auditoría para cumplir los requerimientos de cumplimiento para muchas regulaciones.

El acta “Sarbanes – Oxley (SOX)” controla la divulgación de información a individuos u organizaciones. El acta “Gramm – Leach – Bliley (GLBA)” asegura la privacidad e integridad de los registros de los clientes. El acta “Health Insurance Portabilitty and Accountability (HIPPA)” fue establecida para proteger datos relacionados a la salud. El acta “Federal Information Security Management (FISMA)” vigila los programas de seguridad para agencias federales. Al adherirse a Payment Card Industry (PCI) Data Security Standar (DSS” los minoristas, proveedores de servicios, y organizaciones aliadas pueden dramáticamente reducir las vulnerabilidades, las cuales son explotadas con el propósito de comprometer datos corporativos. Un proceso integro de forense de red podría facilitar los requerimientos de cumplimiento para las organizaciones e ISPs, adheriendose a medidas estrictas de seguridad y mantener datos de auditoria completos.

El forense de redes también facilita el registro de evidencia para una investigación, y ayuda a entender la metodología del atacante. Esto proporciona una visión sobre las herramientas utilizadas por el atacante, y nuevas maneras en la cual las defensas del perímetro fueron evadidas. Esta información puede también proporcionar indicios sobre las deficiencias existentes en las herramientas de seguridad en red. Estas herramientas pueden ser fortalecidas para volverse lo suficientemente robustas, y soportar ataques mucho más híbridos o de día cero (0day).

Fuentes:

https://www.iso.org/isoiec-27001-information-security.html
https://www.iso.org/standard/54534.html
https://www.iso.org/standard/54533.html
https://en.wikipedia.org/wiki/Sarbanes%E2%80%93Oxley_Act
https://en.wikipedia.org/wiki/Gramm%E2%80%93Leach%E2%80%93Bliley_Act
https://www.hhs.gov/hipaa/index.html
https://www.dhs.gov/cisa/federal-information-security-modernization-act
https://www.pcisecuritystandards.org/