Как доказать, что киберпреступник атаковал бизнес, и устранить последствия?
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.
Для этого используется цифровая криминалистика и реагирование на инциденты (DFIR) — это специализированная область, посвященная выявлению, устранению и расследованию инцидентов кибербезопасности. Цифровая криминалистика включает в себя сбор, сохранение и анализ улик для составления полной и подробной картины событий. В то же время реагирование на инцидент обычно направлено на сдерживание, остановку и предотвращение атаки.
В сочетании цифровая криминалистика и реагирование на инциденты обеспечивают бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляют доказательства, необходимые для выдвижения обвинений против злоумышленников, которые нацелились на вашу компанию.
А учитывая, насколько дорогостоящей и разрушительной может быть всего одна атака, важно знать, как реагировать на инцидент кибербезопасности.
Что такое процесс расследования инцидента информационной безопасности?
Процесс расследования инцидента — это общепринятый метод, которым сотрудники службы информационной безопасности пользуются для сбора и сохранения цифровых доказательств с намерением выстроить цепочку событий. Он состоит из трех ключевых шагов.
• Сбор
На данном этапе создаются точные копии исследуемых устройств, обычно с помощью дубликатора жесткого диска или специализированных программных инструментов. Оригинальные носители защищены от несанкционированного доступа.
• Анализ
На этом этапе специалисты анализируют собранные данные, регистрируя все найденные доказательства, которые подтверждают или опровергают гипотезу. Непрерывный анализ проводится для реконструкции событий и действий во время инцидента, помогая сделать выводы о том, что произошло и какие события привели к инциденту (неправомерное использование инсайдерской информации, хакерская атака и т.д.).
• Отчет
После завершения расследования результаты и выводы, обнаруженные аналитиками, представляются в отчете, понятном нерядовому персоналу. Эти отчеты передаются тем, кто заказал расследование, и обычно попадают в руки сотрудников правоохранительных органов, отдела кадров или руководящему составу компании. Реагирование на инциденты обеспечивает бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляет доказательства, необходимые для выдвижения обвинений против злоумышленников, целью которых стала атака на компанию.
Учитывая, насколько дорогостоящей и разрушительной может стать даже одна атака, важно знать, как правильно реагировать на инцидент кибербезопасности.
Процесс расследования инцидента — это общепринятый метод, которым сотрудники службы информационной безопасности пользуются для сбора и сохранения цифровых доказательств с намерением выстроить цепочку событий. Он состоит из трех ключевых шагов.
• Сбор
На данном этапе создаются точные копии исследуемых устройств, обычно с помощью дубликатора жесткого диска или специализированных программных инструментов. Оригинальные носители защищены от несанкционированного доступа.
• Анализ
На этом этапе специалисты анализируют собранные данные, регистрируя все найденные доказательства, которые подтверждают или опровергают гипотезу. Непрерывный анализ проводится для реконструкции событий и действий во время инцидента, помогая сделать выводы о том, что произошло и какие события привели к инциденту (неправомерное использование инсайдерской информации, хакерская атака и т.д.).
• Отчет
После завершения расследования результаты и выводы, обнаруженные аналитиками, представляются в отчете, понятном нерядовому персоналу. Эти отчеты передаются тем, кто заказал расследование, и обычно попадают в руки сотрудников правоохранительных органов, отдела кадров или руководящему составу компании. Реагирование на инциденты обеспечивает бесперебойную работу предприятия, выявляя и закрывая уязвимости в системе безопасности, а также предоставляет доказательства, необходимые для выдвижения обвинений против злоумышленников, целью которых стала атака на компанию.
Учитывая, насколько дорогостоящей и разрушительной может стать даже одна атака, важно знать, как правильно реагировать на инцидент кибербезопасности.
Какие типы данных собирают аналитики в ходе расследования инцидента ИБ?
На этапе сбора информации аналитики ищут различные данные, которые помогут им в расследовании.
Образы дисков — это побитовые копии, сделанные с цифровых носителей данных, обычно жестких дисков. Иногда изображения могут быть взяты с USB-накопителей, SD-карт и т.д.
Образы памяти — оперативная память компьютера может быть записана специальным программным обеспечением, аналогично образу диска. Сбор образов (дампов) оперативной памяти крайне важен, потому что следы некоторых передовых методов, используемых злоумышленниками, невозможно обнаружить на жестких дисках.
Данные приложения — если образ диска или памяти недоступен или неактуален, сотрудники ИБ обратятся к данным приложения, включающим в себя логи хоста, сетевых устройств и программного обеспечения.
На этапе сбора информации аналитики ищут различные данные, которые помогут им в расследовании.
Образы дисков — это побитовые копии, сделанные с цифровых носителей данных, обычно жестких дисков. Иногда изображения могут быть взяты с USB-накопителей, SD-карт и т.д.
Образы памяти — оперативная память компьютера может быть записана специальным программным обеспечением, аналогично образу диска. Сбор образов (дампов) оперативной памяти крайне важен, потому что следы некоторых передовых методов, используемых злоумышленниками, невозможно обнаружить на жестких дисках.
Данные приложения — если образ диска или памяти недоступен или неактуален, сотрудники ИБ обратятся к данным приложения, включающим в себя логи хоста, сетевых устройств и программного обеспечения.
Почему цифровые доказательства важны?
Цифровые доказательства ничем не отличаются от обычных улик. Они содержат важную информацию, переданную или сохраненную на цифровом устройстве во время совершения преступления, и должны соответствовать ключевым критериям:
• достоверность — подтверждать реальные факты;
• допустимость — иметь форму, отвечающую требованиям расследования;
• логичность — демонстрировать логическую связь между доказательствами, сведениями и обстоятельствами инцидента.
Специалисты DFIR соберут эту информацию и сохранят ее в безопасном месте, чтобы предотвратить ее «загрязнение». Но это не единственные доказательства, которые они собирают.
Также оценке и проработке подлежат:
Аналогичные доказательства — сопоставимые инциденты или события, которые могут иметь отношение к пониманию рассматриваемого дела.
Свидетельства, построенные на отдельных наблюдениях, — истории и отчеты третьих сторон, которые могут поддержать гипотезу при анализе инцидента. Неподтвержденные доказательства неприемлемы в суде, но могут быть полезны в ходе расследования инцидента.
Косвенные доказательства — тип аргументов на основе ряда фактов. Также могут пониматься как гипотеза, основанная на известной информации, либо быть полезными при расследовании.
Личностные свидетельства — показания отдельных экспертов, которые могут помочь доказать намерение, мотив и возможность злоумышленников.
Цифровые доказательства ничем не отличаются от обычных улик. Они содержат важную информацию, переданную или сохраненную на цифровом устройстве во время совершения преступления, и должны соответствовать ключевым критериям:
• достоверность — подтверждать реальные факты;
• допустимость — иметь форму, отвечающую требованиям расследования;
• логичность — демонстрировать логическую связь между доказательствами, сведениями и обстоятельствами инцидента.
Специалисты DFIR соберут эту информацию и сохранят ее в безопасном месте, чтобы предотвратить ее «загрязнение». Но это не единственные доказательства, которые они собирают.
Также оценке и проработке подлежат:
Аналогичные доказательства — сопоставимые инциденты или события, которые могут иметь отношение к пониманию рассматриваемого дела.
Свидетельства, построенные на отдельных наблюдениях, — истории и отчеты третьих сторон, которые могут поддержать гипотезу при анализе инцидента. Неподтвержденные доказательства неприемлемы в суде, но могут быть полезны в ходе расследования инцидента.
Косвенные доказательства — тип аргументов на основе ряда фактов. Также могут пониматься как гипотеза, основанная на известной информации, либо быть полезными при расследовании.
Личностные свидетельства — показания отдельных экспертов, которые могут помочь доказать намерение, мотив и возможность злоумышленников.
Как хранить цифровые улики?
Теоретически сбор цифровых улик и доказательств должен быть таким же простым, как извлечение жесткого диска, зараженного программой-вымогателем. Но на практике все не так просто.
Некоторые типы цифровых доказательств считаются изменчивыми или непостоянными, поскольку данные доступны только тогда, когда устройство подключено к сети или к источнику питания. Между тем, энергонезависимые цифровые доказательства постоянно хранятся в памяти. Это могут быть данные во флэш-памяти или даже на компакт-диске. Во многих случаях сотрудники ИБ не могут и не будут отключать устройства, чтобы сохранить цифровые доказательства.
Из-за этих особенностей DFIR-специалисты обычно начинают с дублирования жесткого диска с помощью создания его образа — процесса, который создает точную побитовую копию диска, подвергшегося атаке или участвовавшего в инциденте. Как правило, при проведении расследования аналитики будут работать исключительно с этим образом. Это позволяет им исследовать и проверять гипотезы на диске, не затрагивая фактические улики.
Процесс создания образа также генерирует криптографические хеш-значения, которые используются для дальнейшей проверки подлинности образа диска. По возможности собранные доказательства будут храниться в безопасном месте, где их можно сохранить с дополнительной физической защитой и гарантией, что ни один элемент не будет скомпрометирован, и получить к ним доступ позже.
Теоретически сбор цифровых улик и доказательств должен быть таким же простым, как извлечение жесткого диска, зараженного программой-вымогателем. Но на практике все не так просто.
Некоторые типы цифровых доказательств считаются изменчивыми или непостоянными, поскольку данные доступны только тогда, когда устройство подключено к сети или к источнику питания. Между тем, энергонезависимые цифровые доказательства постоянно хранятся в памяти. Это могут быть данные во флэш-памяти или даже на компакт-диске. Во многих случаях сотрудники ИБ не могут и не будут отключать устройства, чтобы сохранить цифровые доказательства.
Из-за этих особенностей DFIR-специалисты обычно начинают с дублирования жесткого диска с помощью создания его образа — процесса, который создает точную побитовую копию диска, подвергшегося атаке или участвовавшего в инциденте. Как правило, при проведении расследования аналитики будут работать исключительно с этим образом. Это позволяет им исследовать и проверять гипотезы на диске, не затрагивая фактические улики.
Процесс создания образа также генерирует криптографические хеш-значения, которые используются для дальнейшей проверки подлинности образа диска. По возможности собранные доказательства будут храниться в безопасном месте, где их можно сохранить с дополнительной физической защитой и гарантией, что ни один элемент не будет скомпрометирован, и получить к ним доступ позже.
Какой опыт и навыки необходимы для DFIR?
DFIR — это междисциплинарная сфера, которая сочетает в себе навыки межличностного общения и специальных технических знаний. Члены команды DFIR, как правило, обладают уникальным сочетанием навыков, качеств и опыта.
Экспертиза файловой системы — понимание того, как применять основы цифровой криминалистики с помощью программных агентов для анализа файловых систем, включая удаленные данные.
Экспертиза памяти — возможность анализировать изменчивые формы доказательств, такие как оперативная память, на наличие признаков компрометации чрезвычайно полезна, особенно для определенных вариантов вредоносного ПО, которые невозможно обнаружить на диске.
Сетевая экспертиза — понимание того, как анализировать сетевую активность, остается очень полезным навыком в мире форензики.
Сортировка вредоносных программ — реверс-инжиниринг вредоносного ПО может помочь командам DFIR выявить конкретные штаммы и эффективнее устранить ущерб, причиняемый атаками.
Анализ логов — часто автоматизируется для экономии времени, но остается очень ценным навыком для обнаружения аномальной активности в системе.
Разработка программного обеспечения — глубокое понимание разработки программного обеспечения может помочь DFIR-командам лучше понять, что они защищают.
Умение программировать и писать плейбуки — может изменить правила игры.
Коммуникация — хорошая коммуникация является жизненно важным компонентом реагирования на инциденты, будь то с членами команды, пострадавшими организациями или руководством.
Работа в команде — команды DFIR никогда не работают в одиночку. Реагирование на инциденты — это ситуация с высоким уровнем стресса, которая требует от членов команды понимания того, как делегировать задачи друг другу и координировать свои усилия для достижения общей цели.
Аналитическое мышление — возможность собирать информацию, оспаривать собственные предположения и проверять гипотезы может помочь командам прийти к более верным выводам. Это сложный навык для развития, но он чрезвычайно ценен для DFIR.
Это длинный список навыков и областей знаний, и организациям может быть трудно найти квалифицированных специалистов с соответствующим опытом. Многие компании обращаются к внешним консультантам или сторонним поставщикам для удовлетворения своих потребностей в цифровой криминалистике и реагировании на инциденты.
DFIR — это междисциплинарная сфера, которая сочетает в себе навыки межличностного общения и специальных технических знаний. Члены команды DFIR, как правило, обладают уникальным сочетанием навыков, качеств и опыта.
Экспертиза файловой системы — понимание того, как применять основы цифровой криминалистики с помощью программных агентов для анализа файловых систем, включая удаленные данные.
Экспертиза памяти — возможность анализировать изменчивые формы доказательств, такие как оперативная память, на наличие признаков компрометации чрезвычайно полезна, особенно для определенных вариантов вредоносного ПО, которые невозможно обнаружить на диске.
Сетевая экспертиза — понимание того, как анализировать сетевую активность, остается очень полезным навыком в мире форензики.
Сортировка вредоносных программ — реверс-инжиниринг вредоносного ПО может помочь командам DFIR выявить конкретные штаммы и эффективнее устранить ущерб, причиняемый атаками.
Анализ логов — часто автоматизируется для экономии времени, но остается очень ценным навыком для обнаружения аномальной активности в системе.
Разработка программного обеспечения — глубокое понимание разработки программного обеспечения может помочь DFIR-командам лучше понять, что они защищают.
Умение программировать и писать плейбуки — может изменить правила игры.
Коммуникация — хорошая коммуникация является жизненно важным компонентом реагирования на инциденты, будь то с членами команды, пострадавшими организациями или руководством.
Работа в команде — команды DFIR никогда не работают в одиночку. Реагирование на инциденты — это ситуация с высоким уровнем стресса, которая требует от членов команды понимания того, как делегировать задачи друг другу и координировать свои усилия для достижения общей цели.
Аналитическое мышление — возможность собирать информацию, оспаривать собственные предположения и проверять гипотезы может помочь командам прийти к более верным выводам. Это сложный навык для развития, но он чрезвычайно ценен для DFIR.
Это длинный список навыков и областей знаний, и организациям может быть трудно найти квалифицированных специалистов с соответствующим опытом. Многие компании обращаются к внешним консультантам или сторонним поставщикам для удовлетворения своих потребностей в цифровой криминалистике и реагировании на инциденты.
👍1👎1
Уважаемые профессионалы сферы информационной безопасности!
Напоминаем вам, что сегодня — последний день приема регистраций на MFD’22!
Кратко о мероприятии: выступления и доклады экспертов по форензике и корпоративной информационной безопасности, мастер-классы от «ЛАН-ПРОЕКТ», Positive Technologies, ACE-Lab, «Сеус Лаб», «ЭлкомСофт» и «Б1 - Консалт», прожарка вендоров (здесь можно и нужно задавать неудобные вопросы), розыгрыши призов от партнеров и, конечно же, афтерпати (неформальное общение и полезные контакты)!
Ждем всех причастных, и помните: сегодня в 22:00 возможность зарегистрироваться, чтобы попасть на конференцию, превратится в тыкву!
Напоминаем вам, что сегодня — последний день приема регистраций на MFD’22!
Кратко о мероприятии: выступления и доклады экспертов по форензике и корпоративной информационной безопасности, мастер-классы от «ЛАН-ПРОЕКТ», Positive Technologies, ACE-Lab, «Сеус Лаб», «ЭлкомСофт» и «Б1 - Консалт», прожарка вендоров (здесь можно и нужно задавать неудобные вопросы), розыгрыши призов от партнеров и, конечно же, афтерпати (неформальное общение и полезные контакты)!
Ждем всех причастных, и помните: сегодня в 22:00 возможность зарегистрироваться, чтобы попасть на конференцию, превратится в тыкву!
15 сентября 2022 года в Москве состоялась ежегодная конференция по цифровой криминалистике Moscow Forensics Day’22.
Организатором семинара выступила компания «МКО Системы». В течение всего дня гостей MFD знакомили с современными тенденциями и актуальными разработками компаний в сфере цифровой криминалистики, извлечения и анализа данных.
Открыла мероприятие генеральный директор компании «МКО Системы» Ольга Гутман. Представители компаний рассказывали гостям о новых разработках в области форензики и практических аспектах их применения. Перед гостями выступили представители следующих компаний: ведущий Telegram-канала «0% Privacy» под псевдонимом Shizo, представители объединения Forensic Alliance Александра Гончарова и Владимир Ульянов, сотрудник Kaspersky ICS CERT Вячеслав Копейцев, менеджер компании «Б1 - Консалт» Олег Комиссаренко, менеджер по продвижению и развитию продуктов компании Positive Technologies Кирилл Черкинский, генеральный директор компании «Элкомсофт» Владимир Каталов. Завершил сессию докладов представитель компании «ЛАН-ПРОЕКТ» Сергей Еремин.
После перерыва гости конференции смогли закрепить полученную информацию на практике. В секции мастер-классов представители компаний продемонстрировали работу своих продуктов и рассказали о наиболее интересных кейсах их применения. Сессию открыл Даниэль Клюев — эксперт компании «МКО Системы» в области извлечения и анализа данных из ПК. Затем эстафету принял ведущий инженер компании ACELab по направлению мобильных устройств Вячеслав Чикин. Далее выступил представитель компании «СЕУСЛАБ» Евгений Рабчевский. Серию мастер-классов продолжил эксперт компании «МКО Системы» по работе с инструментами в области анализа данных Станислав Коваль. Затем перед гостями выступили сразу три спикера от компании «ЛАН-ПРОЕКТ».
Совсем скоро в сети появится запись конференции. Всем, кто не смог посетить мероприятие, рекомендуем посмотреть!
Организатором семинара выступила компания «МКО Системы». В течение всего дня гостей MFD знакомили с современными тенденциями и актуальными разработками компаний в сфере цифровой криминалистики, извлечения и анализа данных.
Открыла мероприятие генеральный директор компании «МКО Системы» Ольга Гутман. Представители компаний рассказывали гостям о новых разработках в области форензики и практических аспектах их применения. Перед гостями выступили представители следующих компаний: ведущий Telegram-канала «0% Privacy» под псевдонимом Shizo, представители объединения Forensic Alliance Александра Гончарова и Владимир Ульянов, сотрудник Kaspersky ICS CERT Вячеслав Копейцев, менеджер компании «Б1 - Консалт» Олег Комиссаренко, менеджер по продвижению и развитию продуктов компании Positive Technologies Кирилл Черкинский, генеральный директор компании «Элкомсофт» Владимир Каталов. Завершил сессию докладов представитель компании «ЛАН-ПРОЕКТ» Сергей Еремин.
После перерыва гости конференции смогли закрепить полученную информацию на практике. В секции мастер-классов представители компаний продемонстрировали работу своих продуктов и рассказали о наиболее интересных кейсах их применения. Сессию открыл Даниэль Клюев — эксперт компании «МКО Системы» в области извлечения и анализа данных из ПК. Затем эстафету принял ведущий инженер компании ACELab по направлению мобильных устройств Вячеслав Чикин. Далее выступил представитель компании «СЕУСЛАБ» Евгений Рабчевский. Серию мастер-классов продолжил эксперт компании «МКО Системы» по работе с инструментами в области анализа данных Станислав Коваль. Затем перед гостями выступили сразу три спикера от компании «ЛАН-ПРОЕКТ».
Совсем скоро в сети появится запись конференции. Всем, кто не смог посетить мероприятие, рекомендуем посмотреть!
ИБ БЕЗ ГРАНИЦ: о главном в кибербезопасности на Цифровом форуме/выставке «Инфотех»
19 и 20 октября, г.Тюмень, Тюменский ТЕХНОПАРК, ул. Республики, 142.
Трек по информационной безопасности пройдет в трех направлениях
⚡️О чем расскажем?
«КИИ. 250. Теперь уж точно»
🔹 Об обеспечении безопасности КИИ;
🔹О нормотворчестве и актуальных правилах игры на рынке;
🔹О кейсах, частых ошибках и решениях.
«ИБ не по шаблонам»
🔷О риск-ориентированном подходе к построению системы защиты информации;
🔷О превентивных мерах в защите информации.
ИБ-stand up
🔷О страхах и ответственности ИБ-специалиста;
🔷О системах безопасности из «костылей»;
🔷О новом и странном в ИБ.
⚡️Участие бесплатное.
Регистрация на сайте (https://infotex72.ru/#registration).
19 и 20 октября, г.Тюмень, Тюменский ТЕХНОПАРК, ул. Республики, 142.
Трек по информационной безопасности пройдет в трех направлениях
⚡️О чем расскажем?
«КИИ. 250. Теперь уж точно»
🔹 Об обеспечении безопасности КИИ;
🔹О нормотворчестве и актуальных правилах игры на рынке;
🔹О кейсах, частых ошибках и решениях.
«ИБ не по шаблонам»
🔷О риск-ориентированном подходе к построению системы защиты информации;
🔷О превентивных мерах в защите информации.
ИБ-stand up
🔷О страхах и ответственности ИБ-специалиста;
🔷О системах безопасности из «костылей»;
🔷О новом и странном в ИБ.
⚡️Участие бесплатное.
Регистрация на сайте (https://infotex72.ru/#registration).
infotex72.ru
ИНФОТЕХ-2025
XVIII Тюменский форум/выставка
Российская форензика в условиях нового времени
Анонс эфира
Регистрация на эфир
23 сентября в 11:00 (Мск) состоится прямой эфир на тему «Российская форензика в условиях нового времени». Спикеры эфира расскажут об актуальных тенденциях в российской цифровой криминалистике в условиях нового времени, а также обсудят, как последние геополитические события отразились на рынке ПО и «железа». Гости эфира расскажут об основных кейсах, которые решает форензика в настоящий момент, обсудят вопросы актуальных изменений в законодательной базе и в том числе затронут проблемы кадровой политики.
Эфирное время будет поделено на три секции.
Инструментарий специалиста
В этой секции гости обсудят, какие поставщики программных и аппаратных решений, в том числе в области форензики, ушли из России и как их уход повлиял на текущее состояние рынка. Спикеры рассмотрят российские альтернативы, способные заменить продукцию ушедших поставщиков. Отдельное внимание будет уделено отличию западных продуктов от отечественных.
Основные кейсы
Гости студии также поделятся своим мнением об основных проблемах, которыми занимаются специалисты цифровой криминалистики в настоящее время. Они расскажут о том, какой спектр задач решает форензика как в России, так и в других странах, а также обсудят их сходство и различие.
Кадровая проблема
Эта секция будет целиком посвящена кадровым проблемам форензики. Спикеры расскажут о том, кто и как проводит обучение криминалистов и какие вопросы возникают перед молодыми специалистами. Дополнительно будут рассмотрены различные законодательные проблемы, мешающие проводить качественные расследования преступлений в цифровой среде.
Ведущий эфира
Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting
Криминалист, исследователь в области кибербезопасности
Спикеры эфира
Даниэль Клюев, ведущий специалист по работе с данными
Юрий Тихоглаз, сооснователь Zero eDsicovery, экс-руководитель лаборатории компьютерной криминалистики PwC
Анонс эфира
Регистрация на эфир
23 сентября в 11:00 (Мск) состоится прямой эфир на тему «Российская форензика в условиях нового времени». Спикеры эфира расскажут об актуальных тенденциях в российской цифровой криминалистике в условиях нового времени, а также обсудят, как последние геополитические события отразились на рынке ПО и «железа». Гости эфира расскажут об основных кейсах, которые решает форензика в настоящий момент, обсудят вопросы актуальных изменений в законодательной базе и в том числе затронут проблемы кадровой политики.
Эфирное время будет поделено на три секции.
Инструментарий специалиста
В этой секции гости обсудят, какие поставщики программных и аппаратных решений, в том числе в области форензики, ушли из России и как их уход повлиял на текущее состояние рынка. Спикеры рассмотрят российские альтернативы, способные заменить продукцию ушедших поставщиков. Отдельное внимание будет уделено отличию западных продуктов от отечественных.
Основные кейсы
Гости студии также поделятся своим мнением об основных проблемах, которыми занимаются специалисты цифровой криминалистики в настоящее время. Они расскажут о том, какой спектр задач решает форензика как в России, так и в других странах, а также обсудят их сходство и различие.
Кадровая проблема
Эта секция будет целиком посвящена кадровым проблемам форензики. Спикеры расскажут о том, кто и как проводит обучение криминалистов и какие вопросы возникают перед молодыми специалистами. Дополнительно будут рассмотрены различные законодательные проблемы, мешающие проводить качественные расследования преступлений в цифровой среде.
Ведущий эфира
Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting
Криминалист, исследователь в области кибербезопасности
Спикеры эфира
Даниэль Клюев, ведущий специалист по работе с данными
Юрий Тихоглаз, сооснователь Zero eDsicovery, экс-руководитель лаборатории компьютерной криминалистики PwC
👍4👎1
Рассмотрим кейс
Этот инцидент произошел с компанией в сфере маркетинга. В течение месяца клиенты, обращавшиеся в данное агентство, вели переговоры и уходили на моменте подписания договора. Пока один постоянный заказчик не рассказал, что с ним связались конкуренты, которые сделали более выгодное предложение, основываясь на тех услугах и ценах, что были предложены потерпевшими ранее. Стало ясно, что в организации происходит утечка данных. Возможно, есть проблемы с инфраструктурой или кто-то решил заработать «на стороне». Для понимания причин было инициировано расследование.
Первым делом необходимо было создать профиль для поиска данных, которые утекли. Это требуется для того, чтобы установить, какие рабочие станции и сотрудники работали с документами, очертив круг подозреваемых, чтобы затем выстроить цепочку событий. Для поиска был выбран один из договоров, который мог быть отслежен по названию, содержимому или кэшу.
В течение нескольких минут искомый файл был найден на трех рабочих станциях — у двух менеджеров по продажам и у помощника бухгалтера. Так как, по регламенту, помощник не имеет доступа к данному документу, был проведен более глубокий анализ того, как он получил доступ к файлу и что с ним происходило на его рабочей станции. Найдя все упоминания файла, специалисты проанализировали почтовые сервисы и внутренние мессенджеры и выяснили, что бухгалтер делегировал задачу на проверку информации. Это исключило его из списка подозреваемых. Поэтому следующим шагом стало исследование рабочих станций остальных участников событий.
Изучив действия на рабочей станции одного из менеджеров продаж, специалисты обнаружили подключение внешнего носителя, на который был скопирован файл вместе с другими важными документами. Данное действие было совершено вне рабочего времени. Это вызвало подозрения, ведь система пропусков показывала, что сотрудник ушел вовремя.
Соответственно, появилась задача обнаружить этот внешний диск и установить, с какими рабочими станциями он взаимодействовал. Для этого необходимо было пройти весь путь с начала, и эти шаги привели к другому работнику компании — SMM-менеджеру. Согласно правилам компании, данный специалист не имел доступа к подобным документам и, соответственно, не мог работать с ними. Так как документ был удален сразу же после просмотра, он не был обнаружен в первой выдаче запроса, но был зафиксирован при работе с внешним диском. Благодаря сохранению истории взаимодействия, стало понятно, что внешний носитель принадлежал SMM-менеджеру. Об этом свидетельствовала работа с личными папками на внешнем диске. На этом этапе стало ясно, что именно данный сотрудник является главным подозреваемым. Но для подтверждения этого факта требовалось проанализировать дальнейший путь файла с его рабочей станции. Изучив историю браузера, через который был сделан запрос на передачу файла с помощью сторонних ресурсов, выяснилось, что именно SMM-менеджер был виновником инцидента.
Вывод
В процессе расследования использовалось ПО «МК Enterprise», которое позволило значительно ускорить расследование события. Как? Благодаря обнаружению рабочих станций, непосредственно задействованных в происшествии, а также использованию частичного извлечения необходимых артефактов, файлов и приложений.
Использование данного ПО не отменяет классических технологий DFIR, так как все равно необходимо предоставить доказательства для дальнейшего решения конфликта, но значительно сокращает время и издержки, позволяя как можно быстрее остановить противоправные действия и восстановить рабочий процесс компании.
Этот инцидент произошел с компанией в сфере маркетинга. В течение месяца клиенты, обращавшиеся в данное агентство, вели переговоры и уходили на моменте подписания договора. Пока один постоянный заказчик не рассказал, что с ним связались конкуренты, которые сделали более выгодное предложение, основываясь на тех услугах и ценах, что были предложены потерпевшими ранее. Стало ясно, что в организации происходит утечка данных. Возможно, есть проблемы с инфраструктурой или кто-то решил заработать «на стороне». Для понимания причин было инициировано расследование.
Первым делом необходимо было создать профиль для поиска данных, которые утекли. Это требуется для того, чтобы установить, какие рабочие станции и сотрудники работали с документами, очертив круг подозреваемых, чтобы затем выстроить цепочку событий. Для поиска был выбран один из договоров, который мог быть отслежен по названию, содержимому или кэшу.
В течение нескольких минут искомый файл был найден на трех рабочих станциях — у двух менеджеров по продажам и у помощника бухгалтера. Так как, по регламенту, помощник не имеет доступа к данному документу, был проведен более глубокий анализ того, как он получил доступ к файлу и что с ним происходило на его рабочей станции. Найдя все упоминания файла, специалисты проанализировали почтовые сервисы и внутренние мессенджеры и выяснили, что бухгалтер делегировал задачу на проверку информации. Это исключило его из списка подозреваемых. Поэтому следующим шагом стало исследование рабочих станций остальных участников событий.
Изучив действия на рабочей станции одного из менеджеров продаж, специалисты обнаружили подключение внешнего носителя, на который был скопирован файл вместе с другими важными документами. Данное действие было совершено вне рабочего времени. Это вызвало подозрения, ведь система пропусков показывала, что сотрудник ушел вовремя.
Соответственно, появилась задача обнаружить этот внешний диск и установить, с какими рабочими станциями он взаимодействовал. Для этого необходимо было пройти весь путь с начала, и эти шаги привели к другому работнику компании — SMM-менеджеру. Согласно правилам компании, данный специалист не имел доступа к подобным документам и, соответственно, не мог работать с ними. Так как документ был удален сразу же после просмотра, он не был обнаружен в первой выдаче запроса, но был зафиксирован при работе с внешним диском. Благодаря сохранению истории взаимодействия, стало понятно, что внешний носитель принадлежал SMM-менеджеру. Об этом свидетельствовала работа с личными папками на внешнем диске. На этом этапе стало ясно, что именно данный сотрудник является главным подозреваемым. Но для подтверждения этого факта требовалось проанализировать дальнейший путь файла с его рабочей станции. Изучив историю браузера, через который был сделан запрос на передачу файла с помощью сторонних ресурсов, выяснилось, что именно SMM-менеджер был виновником инцидента.
Вывод
В процессе расследования использовалось ПО «МК Enterprise», которое позволило значительно ускорить расследование события. Как? Благодаря обнаружению рабочих станций, непосредственно задействованных в происшествии, а также использованию частичного извлечения необходимых артефактов, файлов и приложений.
Использование данного ПО не отменяет классических технологий DFIR, так как все равно необходимо предоставить доказательства для дальнейшего решения конфликта, но значительно сокращает время и издержки, позволяя как можно быстрее остановить противоправные действия и восстановить рабочий процесс компании.
👍2
Коллеги, давайте разберемся с Агентским режимом! Внесем ясность, поймем, для чего он нужен, как, кому и зачем его можно и нужно применять.
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
mko-security.ru
МКО Системы
Компания-разработчик программного обеспечения
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.