8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00

Расследование инцидентов информационной безопасности

RTM Group предоставляются следующие услуги:
  • Выезд на площадку заказчика или удалённый доступ в ИС заказчика;
  • Регистрация инцидентов ИБ и обработка инцидентов ИБ;
  • Возвращение доверия к рабочим станциям, которые были скомпрометированы;
  • Разработка рекомендаций по принятию мер для предотвращения инцидентов.
  • По окончанию экспертизы заказчику предоставляется экспертное заключение, оформленное в соответствии с требованиями Федерального закона от 31 мая 2001 г. N 73-ФЗ "О государственной судебно-экспертной деятельности в Российской Федерации".
Преимущества цифровых расследований от RTM Group:
  • RTM Group гарантирует достоверность, полноту и объективность проведенного расследования, в ходе которого будут сформированы выводы относительно обстоятельств инцидента информационной безопасности.
  • Наши эксперты расследуют инциденты информационной безопасности в разумные сроки, а выявленные доказательства подтверждаются при возможных судебных процессах, ввиду большого опыта их участия в уголовных, гражданских и арбитражных делах.
Расследование инцидентов информационной безопасности - изображение услуги
Узнать стоимость?

Эксперты по расследованию инцидентов ИБ

Эксперт по расследованию инцидентов ИБ Музалевский Фёдор Александрович

Музалевский Фёдор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО "ВГУИТ" Профиль >>

Все эксперты
Эксперт по расследованию инцидентов ИБ Чайковский Андрей Сергеевич

Чайковский Андрей Сергеевич

Эксперт компьютерно-технического направления

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2012 года Профиль >>

Все эксперты

Описание

Почти любая компания хоть раз, но имела дело с инцидентом информационной безопасности, однако не каждая представляет себе порядок реагирования на инциденты такого рода. В связи с этим, вероятность компрометации данных неподготовленных компаний довольно высока. Но даже если имеется план действий, как правило, выявление причин утечки своими силами занимает продолжительное количество времени, что играет на руку злоумышленнику.

Эксперты RTM Group оперативно реагируют на инциденты информационной безопасности, а также качественно их расследуют в разумные сроки.
На выходе компании, подвергшейся атаке, предоставляется отчет о проведенном экспертном исследовании с подробным описанием всего его хода. В отчете отражается хронологический порядок инцидента информационной безопасности, каковы последствия в результате действий атакующих, а также рекомендации по устранению этих последствий и недопущения повторной компрометации в будущем.

 

Расследование инцидентов ИБ

Итак, инцидент информационной безопасности – это одно или несколько нежелательных/неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и созданию серьезной угрозы ИБ.

Примерами инцидентов информационной безопасности могут служить:

  1. заражение вредоносным ПО;
  2. компрометация сети;
  3. хакерские атаки;
  4. несанкционированный доступ к данным;
  5. эксплуатация уязвимостей;
  6. банковское мошенничество;
  7.  фишинг и др.

Стоит отметить, что в отечественных нормативных правовых актах не имеется как такого закрепленного понятия «расследование инцидентов информационной безопасности», однако международный стандарт ISO/IEC 27035–1:2016 вводит понятие information security investigation – применение экспертиз, анализов и интерпретации, для того, чтобы помочь понять инцидент ИБ. В данном случае смысл слова investigation ближе к понятию исследование, нежели расследование, то есть описываются процедуры сбора доказательств и процессы, характерные при проведении компьютерной экспертизы для понимания произошедшего.

Учитывая вышесказанное, можно подчеркнуть, что расследование инцидентов информационной безопасности – это установление обстоятельств, способствовавших появлению угрозы конфиденциальности, целостности, доступности информационных активов и инфраструктуры организации.

 

Основные задачи расследования инцидентов

Первоочередная задача при расследовании инцидентов ИБ – сбор и фиксация максимального объема цифровых данных и технических документов. Важным моментом является правильное взаимодействие между экспертом и пострадавшей организацией для возможности идентифицировать ключевых сотрудников, которые могут помочь в расследовании, ведь погружение в незнакомую инфраструктуру занимает достаточное количество времени.

Следующая задача, которая ставится перед специалистом — это анализ инцидента. По итогу решения этой задачи у специалиста складывается полная картина произошедшего в хронологическом порядке и выявляются последствия инцидента.

После того, как был установлен вред, нанесенный организации, в зависимости от вида инцидента, задачей специалиста является проведение действий по его устранению либо дача сотрудникам компании рекомендаций о том, какие меры необходимо принять.

 

Сферы применения расследований инцидентов ИБ

Поскольку подавляющее большинство инцидентов информационной безопасности направлены на получение злоумышленниками материальной выгоды, сферы применения расследования инцидентов информационной безопасности представлены в порядке по возрастанию нанесенного ущерба, к ним относят:

  • физических лиц (например, владельцы счетов, пользователи онлайн-банков и др.);
  • юридических лиц, в числе которых: коммерческие предприятия; микрофинансовые организации; страховые компании; банки; государственные компании.

Примечательно, что если в качестве критерия будет выступать количество совершенных инцидентов, то список примет обратный порядок. Это свидетельствует о более тщательной подготовке злоумышленников.

 

Предметы расследования

Фишинг

Предметами расследований инцидентов ИБ физических лиц в основном служат разновидности социальной инженерии, такие как фишинг, ярким примером которого является подделанное письмо от банка или платежной системы и отправленное жертве по электронной почте с призывом совершения такого рода действий, как перейти на копию официальной веб-страницы и ввести конфиденциальную информацию. Важным фактором любого вида социального инжиниринга является психологическое давление на человека (например уведомление лица, что в данный момент существует угроза его данным или денежным средствам).

Подвергнуться фишингу могут и юридические лица, в отношении которых он может стать как причиной утечки данных, так и инструментом для заражения и проникновения злоумышленников в сеть компании.

Вредоносное ПО

Следующим предметом выступают атаки с использованием вредоносного программного обеспечения. Им могут подвергаться и физические, и юридически лица. Для первых чаще всего характерны заражение мобильных телефонов на базе ОС Android такими вредоносными программами, как трояны-кликеры, трояны, перехватывающие root-права, шпионское ПО (spyware) и др., а также заражение домашних персональных компьютеров.

Для вторых же характерны заражения рабочих станций и/или серверов. Тип вредоносного ПО, а также способ его «доставки» зависят от деятельности организации. Например, компании финансового сектора могут быть подвергнуты заражению:

  • троянами-банкерами (Trojan-Banker), предназначенными для кражи пользовательской информации, относящейся к банковским системам;
  • программным обеспечением для удаленного администрирования (RemoteAdmin), позволяющим злоумышленнику получить контроль над рабочей станцией;
  • программами-вымогателями (Ransomware), блокирующими доступ к компьютерной системе или шифрующими важные файлы для дальнейшего требования выкупа от жертвы под предлогом восстановления исходного состояния;

Также существуют случаи недобросовестной конкуренции, в которых одна организация может нанести вред безопасности информации или вычислительной системе другой посредством:

  • DoS/DDos-атак (в том числе в составе ботнета), с целью довести систему конкурента до отказа либо затруднить доступ пользователей к данной системе;
  • ведения электронного шпионажа с помощью шпионского вредоносного программного обеспечения (Spyware), которое без согласия пользователя собирает и передает информацию с устройства, например, программные или аппаратные кейлоггеры;

Помимо самого обнаруженного вредоносного ПО, предметом расследования является установление методов его распространения, ими могут служить:

  • другое вредоносное ПО (например, такое как трояны-дропперы (Trojan-Dropper), предназначенные для скрытой установки вредоносного файла, содержащегося в теле этого трояна);
  • трояны-загрузчики (Trojan-Downloader), предназначенные для загрузки из сети другого вредоносного ПО и другие;
  • бэкдоры, шелл-коды, веб-шеллы;
  • известные уязвимости, а также уязвимости 0-го дня, т. е. zeroday-уязвимости;
  • программное обеспечение, использующее уязвимости – эксплойты и наборы эксплойтов (Exploit kit).
  • выявление руткитов – программного обеспечения, позволяющего скрывать присутствие вредоносного ПО в системе.

    Нужна консультация?

    Порядок реагирования на инциденты информационной безопасности

    Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

    • Сбор свидетельств;
    • Анализ свидетельств;
    • Выявление виновных и установление меры их ответственности;
    • Установление причин возникновения инцидентов;
    • Вынесение рекомендаций по принятию мер для предотвращения инцидентов.

    Рассмотрим подробнее каждый этап.

    Сбор свидетельств

    Сбор свидетельств является важнейшим этапом расследования инцидентов, так как необходимо обеспечить выполнение следующих требований к свидетельствам:

    • полнота (свидетельств достаточно для объективного суждения);
    • относимость (свидетельство имеет отношение к инциденту);
    • достоверность (свидетельства получены из доверенных источников и неизменны);
    • допустимость (свидетельства должны быть получены легальным способом).

    Все собранные свидетельства должны быть должным образом упакованы и промаркированы.

    Анализ свидетельств

    Анализ свидетельств начинается с того, что проводится фотографирование и описание каждого объекта исследования, все фотографии и описания отражаются в экспертном заключении.

    Поскольку расследование инцидентов информационной безопасности частный случай компьютерно-технической экспертизы, то результатом работ является отчет об экспертном исследовании, оформленный в соответствии с требованиями Федерального закона от 31 мая 2001 г. N 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

    Чаще всего анализ свидетельств проводится на идентичной копии или образце данных, а не на оригинале, чтобы обеспечить целостность данных. Чтобы доказать, что оригинал и копия абсолютно идентичны, в двух наборах данных применяется математический алгоритм создания хэш-значения, которые также фиксируются в экспертном заключении. Также анализ различных устройств может проводиться в режиме «только чтения», чтобы не производить запись на носитель.

    Анализ проводится двумя методами – органолептическим и инструментальным. Органолептический метод подразумевает использование органов чувств эксперта (прослушивание и осмотр), инструментальный – использование специализированного аппаратного и программного обеспечения.

    В любом комплексном расследовании критически важно надлежащее документирование, поэтому вся полученная в ходе анализа информация отражается в экспертном заключении, которое также может содержать различные фотографии и скриншоты. По окончанию расследования цифровые свидетельства записываются на оптический диск, который предоставляется в суд.

    Выявление виновных и установление меры их ответственности

    При проведении расследования инцидента не всегда удаётся выявить нарушителя, например, в случае реализации сложных и удаленных атак, но в случае внутренних нарушений это получается почти всегда. Идентификация виновника зависит от множества факторов: полноты свидетельств и их непротиворечивости, также свидетельства должны однозначно указывать на виновного.

    Установление причин возникновения инцидентов

    По результатам анализа эксперт составляет общую картину произошедшего инцидента и выявляет причины его возникновения.

    Вынесение рекомендаций по принятию мер для предотвращения инцидентов

    Рекомендации могут быть представлены в виде регламента, разработка которого может быть реализована по окончанию исследовательских работ.

    Заказать услуги по расследованию инцидентов ИБ

    Для уточнения стоимости и сроков звоните или пишите нам:

    Тел: 8 800 201-20-70 (Звонок по России бесплатный)
    email: info@rtmtech.ru






    Почему RTM Group

    В списке SWIFT Directory of CSP assessment providers

    В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

    Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

    Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

    Сайт RTM Group входит в пятерку лучших юридических сайтов России

    В составе ТК №122

    Цены на услуги по расследованию инцидентов ИБ

    Наименование услуги Стоимость

    Консультация

    Бесплатно

    Информационное письмо для суда

    бесплатно

    Компьютерно-техническая экспертиза по 44-ФЗ

    Срок - от 5 рабочих дней. В соответствии с ч.3 ст. 41 ФЗ-44 эксперт должен уведомить стороны о допустимости своего участия. В связи с этим срок проведения экспертизы может быть увеличен.

    от 40 000 руб.

    Экспертиза компьютерной техники для суда

    Выполняется по запросу физических и юридических лиц, а также правоохранительных органов и судов. Объект исследования может быть предоставлен в экспертное учреждение непосредственно одной из сторон, либо через транспортную компанию. При необходимости выезда эксперта для исследования оборудования на месте, может увеличиться срок и стоимость проведения экспертизы (зависит от удаленности места осмотра).

    от 30 000 руб.

    Экспертиза ноутбука для суда

    от 30 000 руб.

    Внесудебная экспертиза по вопросам IT и информационной безопасности

    от 40 000 руб.

    Расследование инцидентов ИБ

    Просим указать при запросе: — Какие материалы могут быть предоставлены на исследование (например, исходных код, доступы, оборудование, документы)? — Вопросы, которые будут поставлены перед экспертом.

    Подробное описание
     

    от 50 000 руб.

    Наши преимущества

    2000+ аудитов и экспертиз

    Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

    3 лицензии

    ФСТЭК России и ФСБ России

    Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

    В штате нашей компании

    Широкая география работы и присутствия

    Работа на территории России, Украины, Беларуси и Казахстана

    НАМ ДОВЕРЯЮТ

    FAQ: Часто задаваемые вопросы

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.