Расследование инцидентов информационной безопасности

Подробнее о расследовании инцидентов ИБ от RTM Group

Услуга расследования инцидентов информационной безопасности направлена на выявление источника атаки и причин, послуживших наступлению инцидента. Также в рамках данной услуги осуществляется выработка мер по устранению последствий и предотвращения подобных ситуаций в будущем.
Востребованным направлением в данной сфере является расследование инцидентов, связанных с трудовыми спорами, такими как увольнение сотрудников за нарушение политики информационной безопасности организации

Эксперты RTM Group оперативно реагируют на инциденты информационной безопасности и расследуют их в разумные сроки (в течение 24 часов).

На выходе компании, подвергшейся атаке, предоставляется отчет о проведенном экспертном исследовании с подробным описанием всего его хода. В отчете отражается хронологический порядок инцидента информационной безопасности, каковы последствия в результате действий атакующих, а также рекомендации по устранению этих последствий и недопущения повторной компрометации в будущем.

Что требуется от заказчика? 

От пострадавшей компании требуется описание конфигурации оборудования и дальнейшее предоставление доступа к нему. Эксперту могут быть необходимы содержимое накопителей рабочих машин и серверов, дампы оперативной памяти и трафик сетевого оборудования.

Примерный порядок проведения

1. Сбор и фиксация максимального объема информации от пострадавшей компании о произошедшем инциденте;
2. Получение доступа к объекту исследования, путем выезда на площадку Заказчика или получения удаленного доступа к его инфраструктуре;
3. Регистрация произошедшего инцидента, оперативный сбор и анализ всех возможных доказательств, определение типа инцидента информационной безопасности;
4. Проведение подробного исследования на предмет установления причин инцидента и выявления виновных, то есть расследование инцидента ИБ;
5. Ликвидация последствий инцидента и возвращение доверия к рабочим станциям, которые были скомпрометированы;
6. Выработка мер по недопущению инцидентов информационной безопасности в будущем.

Важно!

• Успешное выявление инцидента во многом зависит от надлежащей настройки логирования на рабочих машинах организации, а также сетевой активности с продолжительным временем хранения данных.
• При попытке самостоятельно устранить последствия инцидента вероятны случаи потери важных цифровых улик.

Сроки

• Эксперты RTM Group реагируют на инциденты информационной безопасности в течение 24 часов.
• Сам процесс расследования инцидентов информационной безопасности является трудоёмким. Его срок в среднем составляет от 5 рабочих дней.

Расследование инцидентов ИБ

Итак, инцидент информационной безопасности – это одно или несколько нежелательных/неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и созданию серьезной угрозы ИБ.

Примерами инцидентов информационной безопасности могут служить:

1. заражение вредоносным ПО;
2. компрометация сети;
3. незаконные действия сотрудников;
4. хакерские атаки;
5. несанкционированный доступ к данным;
6. эксплуатация уязвимостей;
7. банковское мошенничество;
8.  фишинг и др.

Стоит отметить, что в отечественных нормативных правовых актах не имеется как такого закрепленного понятия «расследование инцидентов информационной безопасности», однако международный стандарт ISO/IEC 27035–1:2016 вводит понятие information security investigation – применение экспертиз, анализов и интерпретации, для того, чтобы помочь понять инцидент ИБ. В данном случае смысл слова investigation ближе к понятию исследование, нежели расследование, то есть описываются процедуры сбора доказательств и процессы, характерные при проведении компьютерной экспертизы для понимания произошедшего.

Учитывая вышесказанное, можно подчеркнуть, что расследование инцидентов информационной безопасности – это установление обстоятельств, способствовавших появлению угрозы конфиденциальности, целостности, доступности информационных активов и инфраструктуры организации.

Основные задачи расследования инцидентов

Первоочередная задача при расследовании инцидентов ИБ – сбор и фиксация максимального объема цифровых данных и технических документов. Важным моментом является правильное взаимодействие между экспертом и пострадавшей организацией для возможности идентифицировать ключевых сотрудников, которые могут помочь в расследовании, ведь погружение в незнакомую инфраструктуру занимает достаточное количество времени.

Следующая задача, которая ставится перед специалистом — это анализ инцидента. По итогу решения этой задачи у специалиста складывается полная картина произошедшего в хронологическом порядке и выявляются последствия инцидента.

После того, как был установлен вред, нанесенный организации, в зависимости от вида инцидента, задачей специалиста является проведение действий по его устранению либо дача сотрудникам компании рекомендаций о том, какие меры необходимо принять.

Сферы применения расследований инцидентов ИБ

Поскольку подавляющее большинство инцидентов информационной безопасности направлены на получение злоумышленниками материальной выгоды, сферы применения расследования инцидентов информационной безопасности представлены в порядке по возрастанию нанесенного ущерба, к ним относят:

• физических лиц (например, владельцы счетов, пользователи онлайн-банков и др.);
• юридических лиц, в числе которых: коммерческие предприятия; микрофинансовые организации; страховые компании; банки; государственные компании.

Примечательно, что если в качестве критерия будет выступать количество совершенных инцидентов, то список примет обратный порядок. Это свидетельствует о более тщательной подготовке злоумышленников.

Предметы расследования

Фишинг

Предметами расследований инцидентов ИБ физических лиц в основном служат разновидности социальной инженерии, такие как фишинг, ярким примером которого является подделанное письмо от банка или платежной системы и отправленное жертве по электронной почте с призывом совершения такого рода действий, как перейти на копию официальной веб-страницы и ввести конфиденциальную информацию. Важным фактором любого вида социального инжиниринга является психологическое давление на человека (например уведомление лица, что в данный момент существует угроза его данным или денежным средствам).

Подвергнуться фишингу могут и юридические лица, в отношении которых он может стать как причиной утечки данных, так и инструментом для заражения и проникновения злоумышленников в сеть компании.

Вредоносное ПО

Следующим предметом выступают атаки с использованием вредоносного программного обеспечения. Им могут подвергаться и физические, и юридически лица. Для первых чаще всего характерны заражение мобильных телефонов на базе ОС Android такими вредоносными программами, как трояны-кликеры, трояны, перехватывающие root-права, шпионское ПО (spyware) и др., а также заражение домашних персональных компьютеров.

Для вторых же характерны заражения рабочих станций и/или серверов. Тип вредоносного ПО, а также способ его «доставки» зависят от деятельности организации. Например, компании финансового сектора могут быть подвергнуты заражению:

• троянами-банкерами (Trojan-Banker), предназначенными для кражи пользовательской информации, относящейся к банковским системам;
• программным обеспечением для удаленного администрирования (RemoteAdmin), позволяющим злоумышленнику получить контроль над рабочей станцией;
• программами-вымогателями (Ransomware), блокирующими доступ к компьютерной системе или шифрующими важные файлы для дальнейшего требования выкупа от жертвы под предлогом восстановления исходного состояния;

Также существуют случаи недобросовестной конкуренции, в которых одна организация может нанести вред безопасности информации или вычислительной системе другой посредством:

• DoS/DDos-атак (в том числе в составе ботнета), с целью довести систему конкурента до отказа либо затруднить доступ пользователей к данной системе;
• ведения электронного шпионажа с помощью шпионского вредоносного программного обеспечения (Spyware), которое без согласия пользователя собирает и передает информацию с устройства, например, программные или аппаратные кейлоггеры;

Помимо самого обнаруженного вредоносного ПО, предметом расследования является установление методов его распространения, ими могут служить:

• другое вредоносное ПО (например, такое как трояны-дропперы (Trojan-Dropper), предназначенные для скрытой установки вредоносного файла, содержащегося в теле этого трояна);
• трояны-загрузчики (Trojan-Downloader), предназначенные для загрузки из сети другого вредоносного ПО и другие;
• бэкдоры, шелл-коды, веб-шеллы;
• известные уязвимости, а также уязвимости 0-го дня, т. е. zeroday-уязвимости;
• программное обеспечение, использующее уязвимости – эксплойты и наборы эксплойтов (Exploit kit).
• выявление руткитов – программного обеспечения, позволяющего скрывать присутствие вредоносного ПО в системе.

Порядок реагирования на инциденты информационной безопасности

Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

• Сбор свидетельств;
• Анализ свидетельств;
• Выявление виновных и установление меры их ответственности;
• Установление причин возникновения инцидентов;
• Вынесение рекомендаций по принятию мер для предотвращения инцидентов.

Рассмотрим подробнее каждый этап.

Сбор свидетельств

Сбор свидетельств является важнейшим этапом расследования инцидентов, так как необходимо обеспечить выполнение следующих требований к свидетельствам:

• полнота (свидетельств достаточно для объективного суждения);
• относимость (свидетельство имеет отношение к инциденту);
• достоверность (свидетельства получены из доверенных источников и неизменны);
• допустимость (свидетельства должны быть получены легальным способом).

Все собранные свидетельства должны быть должным образом упакованы и промаркированы.

Анализ свидетельств

Анализ свидетельств начинается с того, что проводится фотографирование и описание каждого объекта исследования, все фотографии и описания отражаются в экспертном заключении.

Поскольку расследование инцидентов информационной безопасности частный случай компьютерно-технической экспертизы, то результатом работ является отчет об экспертном исследовании, оформленный в соответствии с требованиями Федерального закона от 31 мая 2001 г. N 73-ФЗ “О государственной судебно-экспертной деятельности в Российской Федерации”.

Чаще всего анализ свидетельств проводится на идентичной копии или образце данных, а не на оригинале, чтобы обеспечить целостность данных. Чтобы доказать, что оригинал и копия абсолютно идентичны, в двух наборах данных применяется математический алгоритм создания хэш-значения, которые также фиксируются в экспертном заключении. Также анализ различных устройств может проводиться в режиме «только чтения», чтобы не производить запись на носитель.

Анализ проводится двумя методами – органолептическим и инструментальным. Органолептический метод подразумевает использование органов чувств эксперта (прослушивание и осмотр), инструментальный – использование специализированного аппаратного и программного обеспечения.

В любом комплексном расследовании критически важно надлежащее документирование, поэтому вся полученная в ходе анализа информация отражается в экспертном заключении, которое также может содержать различные фотографии и скриншоты. По окончанию расследования цифровые свидетельства записываются на оптический диск, который предоставляется в суд.

Выявление виновных и установление меры их ответственности

При проведении расследования инцидента не всегда удаётся выявить нарушителя, например, в случае реализации сложных и удаленных атак, но в случае внутренних нарушений это получается почти всегда. Идентификация виновника зависит от множества факторов: полноты свидетельств и их непротиворечивости, также свидетельства должны однозначно указывать на виновного.

Установление причин возникновения инцидентов

По результатам анализа эксперт составляет общую картину произошедшего инцидента и выявляет причины его возникновения.

Вынесение рекомендаций по принятию мер для предотвращения инцидентов

Рекомендации могут быть представлены в виде регламента, разработка которого может быть реализована по окончанию исследовательских работ.