การสืบสวนเหตุการณ์ทางไซเบอร์ หรือ Cyber Forensic คือการรวบรวมหลักฐานสำหรับสืบสวนหลังจากเกิดเหตุการณ์ไม่พึงประสงค์ทางไซเบอร์ โดยรวมตั้งแต่ขั้นตอนการรักษาสภาพ, การระบุตัวตน, การถอดรหัส, ทำรายงานเอกสาร, และตีความข้อมูลคอมพิวเตอร์ ซึ่งผู้เชี่ยวชาญทั้งหลายต่างใช้ทูลในการตรวจสอบข้อมูลเพื่อศึกษาเหตุการณ์ร้ายบนโลกไซเบอร์ทั่วโลก
ทูลด้านสืบสวนเหตุการณ์ทางไซเบอร์นี้มีฟีเจอร์ตั้งแต่การจำกัดบริเวณอุปกรณ์ที่ติดเชื้อออกจากเครือข่าย และให้แน่ใจว่ามีการสำรองข้อมูลภายใน และเก็บไว้ในตำแหน่งที่ไม่สามารถปนเปื้อนหรือมีการยุ่งเกี่ยวจากภายนอกได้ จากนั้นจึงเริ่มการสืบสวนบนข้อมูลที่ลอกสำรองมาอีกทีหนึ่ง
ทั้งนี้ทาง InfoSecInstitute ได้รวบรวมทูล 7 ตัวที่ผู้เชี่ยวชาญด้านไซเบอร์ฟอเรนสิกทั่วโลกนิยมใช้ดังต่อไปนี้
1. SIFT- SANS Investigative Forensic Toolkit
เป็นทูลที่ตรวจสอบดิสก์ที่เพิ่งถอดออกมาจากเครื่อง (เช่น ข้อมูลในระดับไบต์ ที่ถูกดึงออกมาจากฮาร์ดดิสก์หรืออุปกรณ์สตอเรจอื่น) โดยอ่านระบบไฟล์ได้หลายแบบ ทูลนี้มักอยู่ในรูปซีดีที่ทำงานบน Ubuntu ร่วมกับทูลอื่นที่ใช้ตรวจสอบข้อมูลเชิงลึก
2. ProDiscover Forensic
สามารถระบุตำแหน่งข้อมูลทั้งหมดจากดิสก์ และสามารถคุ้มครองหลักฐาน พร้อมทำรายงานเอกสารสำหรับใช้ในทางกฎหมายได้ด้วย นอกจากนี้ยังสามารถกู้ไฟล์ที่ถูกลบ รวมทั้งค้นหาข้อมูลบนพื้นที่จัดเก็บพิเศษอย่าง Windows Alternate Data Streamsหรือบน Hardware Protected Area (HPA)ได้
3. Volatility Framework
เป็นเฟรมเวิร์กจากทาง Black Hat สำหรับวิเคราะห์หน่วยความจำชั่วคราว โดยเฉพาะบนแรม โดยรันบนแพลตฟอร์มพิเศษเฉพาะ ที่ทำให้สามารถเข้าตรวจสอบข้อมูลได้ทันที เป็นทูลโปรดของหน่วยงานบังคับใช้กฎหมายทั่วโลก
4. Sleuth Kit (+Autopsy)
ใช้อินเทอร์เฟซแบบคอมมานด์ไลน์ สำหรับตรวจสอบระบบปฏิบัติการของดิสก์อิมเมจ และกู้ไฟล์ที่เสียหายไปแล้วได้ปกติ Sleuth Kit ที่เป็นทูลคอมมานด์ไลน์นี้นิยมใช้คู่กับทูลชื่อ Autopsy ที่เป็น GUI สำหรับตรวจสอบฮาร์ดไดรฟ์และสมาร์ทโฟน
5. CAINE (Computer Aided Investigative Environment)
เป็นทูลที่พัฒนาขึ้นบนลีนุกส์ อยู่ในรูปซีดีที่เต็มไปด้วยทูลสืบสวนข้อมูลที่จำเป็น โดยรุ่นล่าสุดได้ถูกพัฒนาขึ้นบน Ubuntu Linux LTS, MATE, และ LightDMซึ่งเหมาะกับผู้ที่คุ้นเคยกับการใช้แพลตฟอร์มเหล่านี้อยู่แล้ว
6. Xplico
เป็นทูลแบบโอเพ่นซอร์สวิเคราะห์ข้อมูลเชิงสอบสวนผ่านเครือข่าย ซึ่งสามารถเรียบเรียงข้อมูลใหม่ได้จากตัวดูดข้อมูลแพ็กเก็ตอย่าง Wireshark หรือ Ettercap เรียกว่าสามารถดูดและสร้างข้อมูลใหม่ได้จากทุกที่เลยทีเดียว
7. X-Ways Forensics
เป็นชุดเครื่องมือครบวงจรชั้นสูงสำหรับมืออาชีพ เนื่องจากทูลปกติมักผลาญทรัพยากรมาก ทำงานได้ช้า จนไม่สามารถตรวจสอบได้ทุกรูขุมขน ขณะที่ทูลนี้อยู่ในรูปแท่งยูเอสบีที่ Portable อย่างสมบูรณ์ โดยไม่ต้องติดตั้งบนระบบเป้าหมายเพิ่มเติมแต่อย่างใด
ที่มา : Hackread