Những điều cần biết về điều tra mạng
Diễn đàn - Ngày đăng : 17:06, 13/08/2018
Tuy nhiên, dù muốn hay không, người dùng và doanh nghiệp đều có khả năng bị đe dọa bởi các cuộc tấn công mạng tại một điểm nào đó. Điều đó có thể do công cụ bảo mật bị lỗi thời, các công cụ chống xâm nhập không hiệu quả hoặc đơn giản là những lỗi do người dùng.
Chính tại đây, điều tra mạng (network forensics) đã được đưa vào hoạt động, giúp các nhóm công nghệ thông tin và các chuyên gia bảo mật mạng khám phá các lỗ hổng trong mạng lưới của tổ chức của họ và cuối cùng là cơ sở hạ tầng công nghệ thông tin nói chung.
Điều tra mạng - Network forensic là gì?
Về cơ bản, điều tra mạng là nhánh phụ của điều tra kỹ thuật số (digital forensic) – một nhánh của khoa học điều tra (forensic science) - theo đó các chuyên gia và các nhà thực thi pháp luật dựa vào công nghệ hoặc dữ liệu có thể chứa bằng chứng về tội phạm hoặc bằng chứng thuộc về với nghi phạm, hoặc kiểm tra chứng cứ ngoại phạm.
Không có gì ngạc nhiên khi Network forensic đề cập đến việc điều tra và phân tích tất cả lưu lượng truy cập trên một mạng bị nghi ngờ được sử dụng trong một cuộc tấn cộng mạng, điều tra sự lây lan của phần mềm độc hại hoặc phân tích các cuộc tấn công trên không gian mạng.
Lực lượng thực thi pháp luật sẽ sử dụng Network forensic để phân tích dữ liệu lưu lượng truy cập mạng được thu thập từ một mạng bị nghi ngờ đang được sử dụng trong hoạt động tội phạm hoặc tấn công mạng. Các nhà phân tích ví dụ sẽ tìm kiếm dữ liệu hướng tới giao tiếp của con người, thao tác các tệp và việc sử dụng các từ khóa nhất định.
Với Network forensic, lực lượng thực thi pháp luật và điều tra tội phạm mạng có thể theo dõi thông tin liên lạc và thiết lập thời hạn dựa trên các sự kiện mạng được đăng nhập bởi hệ thống kiểm soát mạng.
Bên ngoài các điều tra hình sự, Network forensic thường được sử dụng để phân tích các sự kiện mạng để theo dõi nguồn gốc của các cuộc tấn công mạng và các trường hợp liên quan đến bảo mật khác.
Điều này có thể liên quan đến việc xem xét các khu vực nghi ngờ của mạng, thu thập thông tin về điểm dị thường và phát hiện sự cố truy cập mạng trái phép.
Có hai phương pháp thẩm định mạng tổng quát, phương pháp đầu tiên là phương pháp “catch it if you can – bắt nếu bạn có thể”, bao gồm việc nắm bắt tất cả lưu lượng mạng để phân tích, có thể là một quá trình lâu dài và đòi hỏi nhiều dung lượng lưu trữ.
Kỹ thuật thứ hai là phương pháp “stop, look and listen - dừng lại, nhìn và lắng nghe”, bao gồm việc phân tích từng gói dữ liệu chảy qua mạng và chỉ nắm bắt những gì được coi là đáng ngờ và đáng được phân tích thêm; cách tiếp cận này có thể đòi hỏi nhiều sức mạnh xử lý nhưng không cần nhiều dung lượng lưu trữ.
Không giống như điều tra kỹ thuật số, điều tra mạng khó thực hiện hơn vì dữ liệu thường được truyền qua mạng và sau đó bị mất; trong điều tra máy tính thường được lưu trữ trong ổ đĩa cứng hoặc lưu trữ ở trạng thái rắn giúp việc lấy dữ liệu trở nên dễ dàng hơn.
Cần lưu ý rằng các luật bảo mật và quyền riêng tư hạn chế một số hoạt động theo dõi và phân tích lưu lượng mạng mà không có sự cho phép rõ ràng, vì vậy nếu người dùng định áp dụng các công cụ điều tra mạng, hãy lưu ý rằng cần phải tuân thủ luật riêng tư.
Hệ thống điều tra mạng cũng có thể được sử dụng một cách chủ động để khai thác các lỗ hổng trong mạng và hạ tầng công nghệ thông tin, do đó cung cấp cho các quản trị viên công nghệ thông tin và các nhân viên an ninh thông tin về phạm vi phòng thủ chống lại các cuộc tấn công mạng trong tương lai.