Расследование инцидентов информационной безопасности

RTM Group предоставляются следующие услуги:

  • Выезд на площадку заказчика или удалённый доступ в ИС заказчика;
  • Регистрация инцидентов ИБ и обработка инцидентов ИБ;
  • Расследование  инцидентов, связанных с трудовыми спорами;
  • Возвращение доверия к рабочим станциям, которые были скомпрометированы;
  • Разработка рекомендаций по принятию мер для предотвращения инцидентов.
  • По окончанию экспертизы заказчику предоставляется экспертное заключение, оформленное в соответствии с требованиями Федерального закона от 31 мая 2001 г. N 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

Преимущества цифровых расследований от RTM Group:

  • RTM Group гарантирует достоверность, полноту и объективность проведенного расследования, в ходе которого будут сформированы выводы относительно обстоятельств инцидента информационной безопасности.
  • Наши эксперты расследуют инциденты информационной безопасности в разумные сроки, а выявленные доказательства подтверждаются при возможных судебных процессах, ввиду большого опыта их участия в уголовных, гражданских и арбитражных делах.
Расследование инцидентов информационной безопасности - услуги RTM Group
Расследование инцидентов информационной безопасности - от RTM Group
Узнать стоимость?

Эксперты по расследованию инцидентов ИБ

Эксперт по расследованию инцидентов ИБ Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты

Подробнее о расследовании инцидентов ИБ от RTM Group

Услуга расследования инцидентов информационной безопасности направлена на выявление источника атаки и причин, послуживших наступлению инцидента. Также в рамках данной услуги осуществляется выработка мер по устранению последствий и предотвращения подобных ситуаций в будущем.
Востребованным направлением в данной сфере является расследование инцидентов, связанных с трудовыми спорами, такими как увольнение сотрудников за нарушение политики информационной безопасности организации

Эксперты RTM Group оперативно реагируют на инциденты информационной безопасности и расследуют их в разумные сроки (в течение 24 часов).

На выходе компании, подвергшейся атаке, предоставляется отчет о проведенном экспертном исследовании с подробным описанием всего его хода. В отчете отражается хронологический порядок инцидента информационной безопасности, каковы последствия в результате действий атакующих, а также рекомендации по устранению этих последствий и недопущения повторной компрометации в будущем.

 

Что требуется от заказчика? 

От пострадавшей компании требуется описание конфигурации оборудования и дальнейшее предоставление доступа к нему. Эксперту могут быть необходимы содержимое накопителей рабочих машин и серверов, дампы оперативной памяти и трафик сетевого оборудования.

Примерный порядок проведения

  1. Сбор и фиксация максимального объема информации от пострадавшей компании о произошедшем инциденте;
  2. Получение доступа к объекту исследования, путем выезда на площадку Заказчика или получения удаленного доступа к его инфраструктуре;
  3. Регистрация произошедшего инцидента, оперативный сбор и анализ всех возможных доказательств, определение типа инцидента информационной безопасности;
  4. Проведение подробного исследования на предмет установления причин инцидента и выявления виновных, то есть расследование инцидента ИБ;
  5. Ликвидация последствий инцидента и возвращение доверия к рабочим станциям, которые были скомпрометированы;
  6. Выработка мер по недопущению инцидентов информационной безопасности в будущем.

Важно!

  • Успешное выявление инцидента во многом зависит от надлежащей настройки логирования на рабочих машинах организации, а также сетевой активности с продолжительным временем хранения данных.
  • При попытке самостоятельно устранить последствия инцидента вероятны случаи потери важных цифровых улик.

Сроки

  • Эксперты RTM Group реагируют на инциденты информационной безопасности в течение 24 часов.
  • Сам процесс расследования инцидентов информационной безопасности является трудоёмким. Его срок в среднем составляет от 5 рабочих дней.

    Нужна консультация?

    Расследование инцидентов ИБ

    Итак, инцидент информационной безопасности – это одно или несколько нежелательных/неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и созданию серьезной угрозы ИБ.

    Примерами инцидентов информационной безопасности могут служить:

    1. заражение вредоносным ПО;
    2. компрометация сети;
    3. незаконные действия сотрудников;
    4. хакерские атаки;
    5. несанкционированный доступ к данным;
    6. эксплуатация уязвимостей;
    7. банковское мошенничество;
    8.  фишинг и др.

    Стоит отметить, что в отечественных нормативных правовых актах не имеется как такого закрепленного понятия «расследование инцидентов информационной безопасности», однако международный стандарт ISO/IEC 27035–1:2016 вводит понятие information security investigation – применение экспертиз, анализов и интерпретации, для того, чтобы помочь понять инцидент ИБ. В данном случае смысл слова investigation ближе к понятию исследование, нежели расследование, то есть описываются процедуры сбора доказательств и процессы, характерные при проведении компьютерной экспертизы для понимания произошедшего.

    Учитывая вышесказанное, можно подчеркнуть, что расследование инцидентов информационной безопасности – это установление обстоятельств, способствовавших появлению угрозы конфиденциальности, целостности, доступности информационных активов и инфраструктуры организации.

     

    Основные задачи расследования инцидентов

    Первоочередная задача при расследовании инцидентов ИБ – сбор и фиксация максимального объема цифровых данных и технических документов. Важным моментом является правильное взаимодействие между экспертом и пострадавшей организацией для возможности идентифицировать ключевых сотрудников, которые могут помочь в расследовании, ведь погружение в незнакомую инфраструктуру занимает достаточное количество времени.

    Следующая задача, которая ставится перед специалистом — это анализ инцидента. По итогу решения этой задачи у специалиста складывается полная картина произошедшего в хронологическом порядке и выявляются последствия инцидента.

    После того, как был установлен вред, нанесенный организации, в зависимости от вида инцидента, задачей специалиста является проведение действий по его устранению либо дача сотрудникам компании рекомендаций о том, какие меры необходимо принять.

     

    Сферы применения расследований инцидентов ИБ

    Поскольку подавляющее большинство инцидентов информационной безопасности направлены на получение злоумышленниками материальной выгоды, сферы применения расследования инцидентов информационной безопасности представлены в порядке по возрастанию нанесенного ущерба, к ним относят:

    • физических лиц (например, владельцы счетов, пользователи онлайн-банков и др.);
    • юридических лиц, в числе которых: коммерческие предприятия; микрофинансовые организации; страховые компании; банки; государственные компании.

    Примечательно, что если в качестве критерия будет выступать количество совершенных инцидентов, то список примет обратный порядок. Это свидетельствует о более тщательной подготовке злоумышленников.

     

    Предметы расследования

    Фишинг

    Предметами расследований инцидентов ИБ физических лиц в основном служат разновидности социальной инженерии, такие как фишинг, ярким примером которого является подделанное письмо от банка или платежной системы и отправленное жертве по электронной почте с призывом совершения такого рода действий, как перейти на копию официальной веб-страницы и ввести конфиденциальную информацию. Важным фактором любого вида социального инжиниринга является психологическое давление на человека (например уведомление лица, что в данный момент существует угроза его данным или денежным средствам).

    Подвергнуться фишингу могут и юридические лица, в отношении которых он может стать как причиной утечки данных, так и инструментом для заражения и проникновения злоумышленников в сеть компании.

    Вредоносное ПО

    Следующим предметом выступают атаки с использованием вредоносного программного обеспечения. Им могут подвергаться и физические, и юридически лица. Для первых чаще всего характерны заражение мобильных телефонов на базе ОС Android такими вредоносными программами, как трояны-кликеры, трояны, перехватывающие root-права, шпионское ПО (spyware) и др., а также заражение домашних персональных компьютеров.

    Для вторых же характерны заражения рабочих станций и/или серверов. Тип вредоносного ПО, а также способ его «доставки» зависят от деятельности организации. Например, компании финансового сектора могут быть подвергнуты заражению:

    • троянами-банкерами (Trojan-Banker), предназначенными для кражи пользовательской информации, относящейся к банковским системам;
    • программным обеспечением для удаленного администрирования (RemoteAdmin), позволяющим злоумышленнику получить контроль над рабочей станцией;
    • программами-вымогателями (Ransomware), блокирующими доступ к компьютерной системе или шифрующими важные файлы для дальнейшего требования выкупа от жертвы под предлогом восстановления исходного состояния;

    Также существуют случаи недобросовестной конкуренции, в которых одна организация может нанести вред безопасности информации или вычислительной системе другой посредством:

    • DoS/DDos-атак (в том числе в составе ботнета), с целью довести систему конкурента до отказа либо затруднить доступ пользователей к данной системе;
    • ведения электронного шпионажа с помощью шпионского вредоносного программного обеспечения (Spyware), которое без согласия пользователя собирает и передает информацию с устройства, например, программные или аппаратные кейлоггеры;

    Помимо самого обнаруженного вредоносного ПО, предметом расследования является установление методов его распространения, ими могут служить:

    • другое вредоносное ПО (например, такое как трояны-дропперы (Trojan-Dropper), предназначенные для скрытой установки вредоносного файла, содержащегося в теле этого трояна);
    • трояны-загрузчики (Trojan-Downloader), предназначенные для загрузки из сети другого вредоносного ПО и другие;
    • бэкдоры, шелл-коды, веб-шеллы;
    • известные уязвимости, а также уязвимости 0-го дня, т. е. zeroday-уязвимости;
    • программное обеспечение, использующее уязвимости – эксплойты и наборы эксплойтов (Exploit kit).
    • выявление руткитов – программного обеспечения, позволяющего скрывать присутствие вредоносного ПО в системе.

      Нужна консультация?

      Порядок реагирования на инциденты информационной безопасности

      Единой методики проведения расследования не существует, но в общем случае в ходе расследования выполняются следующие действия:

      • Сбор свидетельств;
      • Анализ свидетельств;
      • Выявление виновных и установление меры их ответственности;
      • Установление причин возникновения инцидентов;
      • Вынесение рекомендаций по принятию мер для предотвращения инцидентов.

      Рассмотрим подробнее каждый этап.

      Сбор свидетельств

      Сбор свидетельств является важнейшим этапом расследования инцидентов, так как необходимо обеспечить выполнение следующих требований к свидетельствам:

      • полнота (свидетельств достаточно для объективного суждения);
      • относимость (свидетельство имеет отношение к инциденту);
      • достоверность (свидетельства получены из доверенных источников и неизменны);
      • допустимость (свидетельства должны быть получены легальным способом).

      Все собранные свидетельства должны быть должным образом упакованы и промаркированы.

      Анализ свидетельств

      Анализ свидетельств начинается с того, что проводится фотографирование и описание каждого объекта исследования, все фотографии и описания отражаются в экспертном заключении.

      Поскольку расследование инцидентов информационной безопасности частный случай компьютерно-технической экспертизы, то результатом работ является отчет об экспертном исследовании, оформленный в соответствии с требованиями Федерального закона от 31 мая 2001 г. N 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации».

      Чаще всего анализ свидетельств проводится на идентичной копии или образце данных, а не на оригинале, чтобы обеспечить целостность данных. Чтобы доказать, что оригинал и копия абсолютно идентичны, в двух наборах данных применяется математический алгоритм создания хэш-значения, которые также фиксируются в экспертном заключении. Также анализ различных устройств может проводиться в режиме «только чтения», чтобы не производить запись на носитель.

      Анализ проводится двумя методами – органолептическим и инструментальным. Органолептический метод подразумевает использование органов чувств эксперта (прослушивание и осмотр), инструментальный – использование специализированного аппаратного и программного обеспечения.

      В любом комплексном расследовании критически важно надлежащее документирование, поэтому вся полученная в ходе анализа информация отражается в экспертном заключении, которое также может содержать различные фотографии и скриншоты. По окончанию расследования цифровые свидетельства записываются на оптический диск, который предоставляется в суд.

      Выявление виновных и установление меры их ответственности

      При проведении расследования инцидента не всегда удаётся выявить нарушителя, например, в случае реализации сложных и удаленных атак, но в случае внутренних нарушений это получается почти всегда. Идентификация виновника зависит от множества факторов: полноты свидетельств и их непротиворечивости, также свидетельства должны однозначно указывать на виновного.

      Установление причин возникновения инцидентов

      По результатам анализа эксперт составляет общую картину произошедшего инцидента и выявляет причины его возникновения.

      Вынесение рекомендаций по принятию мер для предотвращения инцидентов

      Рекомендации могут быть представлены в виде регламента, разработка которого может быть реализована по окончанию исследовательских работ.

      Заказать услуги по расследованию инцидентов ИБ

      Для уточнения стоимости и сроков звоните или пишите нам:

      Тел: 8 800 201-20-70 (Звонок по России бесплатный)
      email:






      Почему RTM Group

      RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

      В списке SWIFT Directory of CSP assessment providers

      В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

      Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

      Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

      Сайт RTM Group входит в тройку лучших юридических сайтов России

      В составе ТК №122

      Цены на услуги по расследованию инцидентов ИБ

      Обратите внимание!
      Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наименование услуги Стоимость

      Консультация

      Бесплатно

      Информационное письмо для суда

      бесплатно

      Компьютерно-техническая экспертиза по 44-ФЗ

      Срок — от 5 рабочих дней.
      В соответствии с ч.3 ст. 41 ФЗ-44 эксперт должен уведомить стороны о допустимости своего участия. В связи с этим срок проведения экспертизы может быть увеличен.

      Подробное описание
       

      от 90 000 руб.

      Экспертиза компьютерной техники для суда

      Выполняется по запросу юридических лиц, а также правоохранительных органов и судов.
      Объект исследования может быть предоставлен в экспертное учреждение непосредственно одной из сторон, либо через транспортную компанию.
      При необходимости выезда эксперта для исследования оборудования на месте, может увеличиться срок и стоимость проведения экспертизы (зависит от удаленности места осмотра).

      от 90 000 руб.

      Экспертиза ноутбука для суда

      от 90 000 руб.

      Внесудебная экспертиза по вопросам IT и информационной безопасности

      от 90 000 руб.

      Расследование инцидентов ИБ

      Просим указать при запросе:
      — Какие материалы могут быть предоставлены на исследование (например, исходных код, доступы, оборудование, документы)?
      — Вопросы, которые будут поставлены перед экспертом.

      Подробное описание
       

      от 150 000 руб.

      Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
      Работа с физическими лицами временно не осуществляется.

      Наши преимущества

      2800+ аудитов и экспертиз

      Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

      3 лицензии

      ФСТЭК России и ФСБ России

      Судебные ИТ-эксперты, ИТ-юристы и аудиторы ИБ

      В штате нашей компании

      Широкая география работы и присутствия

      Работа на территории России, Беларуси и Казахстана

      Продукты и решения для вас

      Нам доверяют

      Полезные статьи

      FAQ: Часто задаваемые вопросы