Network Forensics: নেটওয়ার্ক ট্রাফিক বিশ্লেষণ করে সাইবার আক্রমণের উৎস শনাক্তকরণ!

Network Forensics হলো একটি systematic approach যা network-related events-কে বৈজ্ঞানিকভাবে বিশ্লেষণ করে। এটি traditional digital forensics থেকে আলাদা কারণ এখানে evidence সাধারণত ephemeral - একবার packet চলে গেলে সেটি আবার ফিরে আসে না। তাই প্রায়শই network forensics-কে real-time বা near-real-time-এ চালাতে হয়।

এই ক্ষেত্রের দুটি মূল পদ্ধতি রয়েছে। প্রথম পদ্ধতি হলো "Catch-it-as-you-can", যেখানে সব network traffic continuously capture এবং store করা হয়, পরবর্তীতে প্রয়োজন অনুযায়ী বিশ্লেষণ করা হয়। এটি বিশাল storage প্রয়োজন কিন্তু সম্পূর্ণ historical analysis সম্ভব করে।

দ্বিতীয় পদ্ধতি হলো "Stop, Look, Listen", যেখানে traffic-কে real-time-এ analyze করা হয় এবং শুধু সন্দেহজনক traffic store করা হয়। এটি storage সাশ্রয়ী কিন্তু কিছু evidence হারিয়ে যেতে পারে।

Network Forensics-এর মূল লক্ষ্য কয়েকটি। প্রথমত, security incident detection এবং investigation। দ্বিতীয়ত, attribution অর্থাৎ আক্রমণকারী কে তা চিহ্নিত করা। তৃতীয়ত, scope determination অর্থাৎ আক্রমণের ব্যাপ্তি বোঝা। চতুর্থত, evidence preservation আদালতে উপস্থাপনের জন্য। পঞ্চমত, lessons learned থেকে ভবিষ্যতের জন্য defense উন্নত করা।

Network Forensics-এর কাজ একটি সুনির্দিষ্ট প্রক্রিয়া অনুসরণ করে। প্রথম ধাপ হলো Preparation। এই পর্যায়ে network sensors, packet capture devices, logging infrastructure এবং SIEM system আগে থেকেই deploy করতে হয়। কোনো incident ঘটার পর থেকে শুরু করলে অনেক দেরি হয়ে যায়।

দ্বিতীয় ধাপ হলো Detection। SIEM, IDS/IPS, EDR বা network behavior analytics tool যে কোনো একটি through anomaly বা known attack signature detect হয়।

তৃতীয় ধাপ হলো Collection। এই পর্যায়ে সংশ্লিষ্ট network traffic, log file, এবং relevant data সংগ্রহ করা হয়। Chain of custody maintain করা এই ধাপে অত্যন্ত গুরুত্বপূর্ণ।

চতুর্থ ধাপ হলো Preservation। সংগৃহীত data-র integrity নিশ্চিত করতে hash value calculate করা হয় এবং write-once storage-এ রাখা হয়।

পঞ্চম ধাপ হলো Examination। Captured packet-গুলো বিশ্লেষণ করে relevant information বের করা হয়। Wireshark, tcpdump-এর মতো tools এই কাজে ব্যবহৃত হয়।

ষষ্ঠ ধাপ হলো Analysis। Examined data-কে context-এ বিবেচনা করে আক্রমণের সম্পূর্ণ picture তৈরি করা হয়। Timeline বিশ্লেষণ, lateral movement tracking, এবং attacker behavior profiling এই পর্যায়ের কাজ।

সপ্তম এবং শেষ ধাপ হলো Reporting। সব findings একটি forensically sound report-এ presented করা হয় যা technical এবং non-technical audience উভয়ের জন্য বোধগম্য।

Network forensic-এর সবচেয়ে গুরুত্বপূর্ণ ধাপ হলো traffic capture। এটি কয়েকভাবে করা যায়। সবচেয়ে সাধারণ পদ্ধতি হলো Port Mirroring বা SPAN (Switched Port Analyzer)। এতে switch-এর একটি specific port-এর সব traffic অন্য একটি port-এ copy করা হয় যেখানে capture device connected থাকে।

দ্বিতীয় পদ্ধতি হলো Network TAP (Test Access Point)। এটি একটি hardware device যা network cable-এর মাঝে বসিয়ে traffic capture করে। TAP passive এবং undetectable, যা forensic উদ্দেশ্যে আদর্শ।

তৃতীয় পদ্ধতি হলো Inline Network Analyzer। এটি network path-এর মধ্যে বসে real-time analysis করে। এটি high-performance solution কিন্তু single point of failure হতে পারে।

চতুর্থ পদ্ধতি হলো Cloud-based Capture। AWS VPC Traffic Mirroring, Azure Virtual Network TAP, এবং GCP Packet Mirroring-এর মাধ্যমে cloud environment-এ traffic capture করা যায়।

Capture-এর সময় কয়েকটি বিষয় বিবেচনা করতে হবে। প্রথমত, কোন data capture করতে হবে - full packet capture (PCAP) নাকি শুধু metadata (flow data)। Full PCAP সম্পূর্ণ visibility দেয় কিন্তু storage cost বেশি। NetFlow, sFlow, বা IPFIX-এর মতো flow data lightweight কিন্তু payload information থাকে না।

দ্বিতীয়ত, encrypted traffic কীভাবে handle করতে হবে। TLS-এর প্রসারের সাথে সাথে অনেক traffic এখন encrypted। SSL/TLS decryption (with proper legal authorization), traffic analysis based on metadata, এবং JA3/JA3S fingerprinting-এর মতো technique এই চ্যালেঞ্জ মোকাবেলায় ব্যবহৃত হয়।

Network Forensics-এ ব্যবহৃত tools বিভিন্ন category-তে পড়ে। Packet Capture এবং Analysis Tools-এর মধ্যে Wireshark সবচেয়ে জনপ্রিয়। এটি একটি free, open-source tool যা প্রায় সব protocol decode করতে পারে। এর command-line version tshark automation-এর জন্য কার্যকর।

tcpdump একটি classic Unix-based packet capture tool যা script-able এবং lightweight। এটি প্রায়শই server-side capture-এ ব্যবহৃত হয়।

NetworkMiner একটি Windows-based tool যা passive analysis-এ ভালো। এটি captured PCAP file থেকে files, images, এবং credentials automatically extract করতে পারে।

Zeek (পূর্বে Bro) হলো একটি powerful network analysis framework যা high-level analytics এবং scripting capability প্রদান করে।

Suricata একটি multi-threaded IDS/IPS/NSM tool যা real-time threat detection এবং forensic analysis উভয়ের জন্য ব্যবহৃত হয়। Snort আরেকটি জনপ্রিয় signature-based IDS।

SIEM platform যেমন Splunk, Elastic Security, IBM QRadar, এবং Microsoft Sentinel network log-এর centralized analysis করে। এগুলো বড় enterprise environment-এ অপরিহার্য।

Memory analysis-এর জন্য Volatility এবং Rekall ব্যবহৃত হয় network connection-related artifact extract করতে। আক্রান্ত system-এর memory dump থেকে active connection, listening port, এবং network process সম্পর্কে গুরুত্বপূর্ণ তথ্য পাওয়া যায়।

Network Forensics-এর প্রয়োগ অনেক বিখ্যাত cyber attack তদন্তে দেখা গেছে। ২০১৭ সালের Equifax breach-এ network forensics-এর মাধ্যমে আক্রমণকারীদের ৭৬ দিনের কার্যকলাপ পুনর্গঠন করা হয়েছিল। Apache Struts vulnerability exploit থেকে শুরু করে data exfiltration পর্যন্ত পুরো attack chain network log-এর মাধ্যমে চিহ্নিত হয়েছিল।

Target Corporation-এর ২০১৩ সালের data breach-এ ৪ কোটি credit card-এর তথ্য চুরি হয়েছিল। Network forensics-এর মাধ্যমে দেখা যায় যে আক্রমণকারীরা একটি third-party HVAC vendor-এর credential ব্যবহার করে network-এ ঢুকেছিল এবং তারপর POS system-এ malware deploy করেছিল।

SolarWinds attack-এ network forensics একটি কেন্দ্রীয় ভূমিকা পালন করেছিল। FireEye প্রথম anomalous network traffic detect করে এই massive supply chain attack প্রকাশ করে।

বাংলাদেশের প্রেক্ষাপটে, ২০১৬ সালের Bangladesh Bank heist-এর তদন্তেও network forensics গুরুত্বপূর্ণ ভূমিকা পালন করেছিল। SWIFT system-এর মাধ্যমে কীভাবে $৮১ মিলিয়ন চুরি হয়েছিল, সেই কৌশল উদ্ঘাটনে network log বিশ্লেষণ অপরিহার্য ছিল।

NCC, CIRT এবং বিভিন্ন বেসরকারি SOC-তে এখন network forensic capability গড়ে উঠছে। কিন্তু দক্ষ professional-এর ঘাটতি একটি বড় চ্যালেঞ্জ।

Network Forensics বেশ কিছু চ্যালেঞ্জের সম্মুখীন। প্রথমত, encrypted traffic। TLS 1.3, QUIC, এবং HTTPS-এর প্রসারের সাথে সাথে payload visibility কমে গেছে। এর সমাধানে metadata analysis, JA3 fingerprinting, এবং SSL inspection (proper authorization সহ) ব্যবহৃত হয়।

দ্বিতীয়ত, traffic volume। আধুনিক enterprise-এ প্রতিদিন terabyte-পর্যায়ের traffic flow করে। এই বিশাল data store করা এবং analyze করা চ্যালেঞ্জিং।

তৃতীয়ত, anti-forensic technique। Sophisticated আক্রমণকারীরা log delete করা, traffic obfuscation, এবং steganography ব্যবহার করে evidence গোপন করার চেষ্টা করে।

চতুর্থত, cloud এবং serverless environment-এ visibility সীমিত হতে পারে। সব cloud provider সম্পূর্ণ packet capture support করে না।

পঞ্চমত, IoT এবং mobile device-এর প্রসারের সাথে সাথে diverse protocol এবং communication pattern handle করতে হয়।

Effective Network Forensics-এর জন্য কয়েকটি best practice অনুসরণ করতে হবে। প্রথমত, comprehensive network visibility নিশ্চিত করুন। সব critical segment-এ traffic capture capability deploy করুন।

দ্বিতীয়ত, centralized log management ব্যবহার করুন। SIEM-এ সব source থেকে log aggregate করুন এবং standardized format-এ store করুন।

তৃতীয়ত, baseline establish করুন। Normal traffic pattern বুঝতে পারলে anomaly detect করা সহজ হয়।

চতুর্থত, regular forensic readiness assessment করুন। আপনার organization কি একটি incident-এর পর সঠিকভাবে forensic investigation চালাতে পারবে?

পঞ্চমত, কর্মীদের training দিন। Network forensic একটি specialized skill যা continuous learning প্রয়োজন। SANS FOR572, GIAC GNFA-এর মতো certification এই ক্ষেত্রে recognized।

ষষ্ঠত, incident response plan তৈরি করুন এবং নিয়মিত tabletop exercise-এর মাধ্যমে test করুন।