Le tecniche antiforensi sono azioni che un attaccante usa per nascondere ciò che ha fatto, cancellare le prove o rendere più difficile un’indagine. Esempi comuni includono la cancellazione dei log degli eventi, l’eliminazione di strumenti e payload, la pulizia della cronologia dei comandi, la disabilitazione delle impostazioni di audit, il timestomping dei file per alterarne i timestamp e il malware che si autoelimina. Questi passaggi sono spesso usati dopo l’accesso iniziale, durante l’escalation dei privilegi o prima dell’esfiltrazione e della cifratura, così che il difensore veda meno indizi.
L’antiforense è importante perché la risposta agli incidenti dipende da prove affidabili. Quando i log mancano o vengono alterati, i team potrebbero non sapere come l’attaccante sia entrato, quali account siano stati sfruttati o quali sistemi siano stati toccati. I difensori cercano lacune nella telemetria, variazioni anomale dell’orario, troncamento dei log, agent di sicurezza disabilitati e incoerenze tra i record degli endpoint, della rete e dell’autenticazione. Una registrazione centralizzata e immutabile e una rapida conservazione delle prove rendono l’attività antiforense più facile da individuare e più difficile da nascondere.