15 сентября 2022 года в Москве состоялась ежегодная конференция по цифровой криминалистике Moscow Forensics Day’22.
Организатором семинара выступила компания «МКО Системы». В течение всего дня гостей MFD знакомили с современными тенденциями и актуальными разработками компаний в сфере цифровой криминалистики, извлечения и анализа данных.
Открыла мероприятие генеральный директор компании «МКО Системы» Ольга Гутман. Представители компаний рассказывали гостям о новых разработках в области форензики и практических аспектах их применения. Перед гостями выступили представители следующих компаний: ведущий Telegram-канала «0% Privacy» под псевдонимом Shizo, представители объединения Forensic Alliance Александра Гончарова и Владимир Ульянов, сотрудник Kaspersky ICS CERT Вячеслав Копейцев, менеджер компании «Б1 - Консалт» Олег Комиссаренко, менеджер по продвижению и развитию продуктов компании Positive Technologies Кирилл Черкинский, генеральный директор компании «Элкомсофт» Владимир Каталов. Завершил сессию докладов представитель компании «ЛАН-ПРОЕКТ» Сергей Еремин.
После перерыва гости конференции смогли закрепить полученную информацию на практике. В секции мастер-классов представители компаний продемонстрировали работу своих продуктов и рассказали о наиболее интересных кейсах их применения. Сессию открыл Даниэль Клюев — эксперт компании «МКО Системы» в области извлечения и анализа данных из ПК. Затем эстафету принял ведущий инженер компании ACELab по направлению мобильных устройств Вячеслав Чикин. Далее выступил представитель компании «СЕУСЛАБ» Евгений Рабчевский. Серию мастер-классов продолжил эксперт компании «МКО Системы» по работе с инструментами в области анализа данных Станислав Коваль. Затем перед гостями выступили сразу три спикера от компании «ЛАН-ПРОЕКТ».
Совсем скоро в сети появится запись конференции. Всем, кто не смог посетить мероприятие, рекомендуем посмотреть!
Организатором семинара выступила компания «МКО Системы». В течение всего дня гостей MFD знакомили с современными тенденциями и актуальными разработками компаний в сфере цифровой криминалистики, извлечения и анализа данных.
Открыла мероприятие генеральный директор компании «МКО Системы» Ольга Гутман. Представители компаний рассказывали гостям о новых разработках в области форензики и практических аспектах их применения. Перед гостями выступили представители следующих компаний: ведущий Telegram-канала «0% Privacy» под псевдонимом Shizo, представители объединения Forensic Alliance Александра Гончарова и Владимир Ульянов, сотрудник Kaspersky ICS CERT Вячеслав Копейцев, менеджер компании «Б1 - Консалт» Олег Комиссаренко, менеджер по продвижению и развитию продуктов компании Positive Technologies Кирилл Черкинский, генеральный директор компании «Элкомсофт» Владимир Каталов. Завершил сессию докладов представитель компании «ЛАН-ПРОЕКТ» Сергей Еремин.
После перерыва гости конференции смогли закрепить полученную информацию на практике. В секции мастер-классов представители компаний продемонстрировали работу своих продуктов и рассказали о наиболее интересных кейсах их применения. Сессию открыл Даниэль Клюев — эксперт компании «МКО Системы» в области извлечения и анализа данных из ПК. Затем эстафету принял ведущий инженер компании ACELab по направлению мобильных устройств Вячеслав Чикин. Далее выступил представитель компании «СЕУСЛАБ» Евгений Рабчевский. Серию мастер-классов продолжил эксперт компании «МКО Системы» по работе с инструментами в области анализа данных Станислав Коваль. Затем перед гостями выступили сразу три спикера от компании «ЛАН-ПРОЕКТ».
Совсем скоро в сети появится запись конференции. Всем, кто не смог посетить мероприятие, рекомендуем посмотреть!
ИБ БЕЗ ГРАНИЦ: о главном в кибербезопасности на Цифровом форуме/выставке «Инфотех»
19 и 20 октября, г.Тюмень, Тюменский ТЕХНОПАРК, ул. Республики, 142.
Трек по информационной безопасности пройдет в трех направлениях
⚡️О чем расскажем?
«КИИ. 250. Теперь уж точно»
🔹 Об обеспечении безопасности КИИ;
🔹О нормотворчестве и актуальных правилах игры на рынке;
🔹О кейсах, частых ошибках и решениях.
«ИБ не по шаблонам»
🔷О риск-ориентированном подходе к построению системы защиты информации;
🔷О превентивных мерах в защите информации.
ИБ-stand up
🔷О страхах и ответственности ИБ-специалиста;
🔷О системах безопасности из «костылей»;
🔷О новом и странном в ИБ.
⚡️Участие бесплатное.
Регистрация на сайте (https://infotex72.ru/#registration).
19 и 20 октября, г.Тюмень, Тюменский ТЕХНОПАРК, ул. Республики, 142.
Трек по информационной безопасности пройдет в трех направлениях
⚡️О чем расскажем?
«КИИ. 250. Теперь уж точно»
🔹 Об обеспечении безопасности КИИ;
🔹О нормотворчестве и актуальных правилах игры на рынке;
🔹О кейсах, частых ошибках и решениях.
«ИБ не по шаблонам»
🔷О риск-ориентированном подходе к построению системы защиты информации;
🔷О превентивных мерах в защите информации.
ИБ-stand up
🔷О страхах и ответственности ИБ-специалиста;
🔷О системах безопасности из «костылей»;
🔷О новом и странном в ИБ.
⚡️Участие бесплатное.
Регистрация на сайте (https://infotex72.ru/#registration).
infotex72.ru
ИНФОТЕХ-2025
XVIII Тюменский форум/выставка
Российская форензика в условиях нового времени
Анонс эфира
Регистрация на эфир
23 сентября в 11:00 (Мск) состоится прямой эфир на тему «Российская форензика в условиях нового времени». Спикеры эфира расскажут об актуальных тенденциях в российской цифровой криминалистике в условиях нового времени, а также обсудят, как последние геополитические события отразились на рынке ПО и «железа». Гости эфира расскажут об основных кейсах, которые решает форензика в настоящий момент, обсудят вопросы актуальных изменений в законодательной базе и в том числе затронут проблемы кадровой политики.
Эфирное время будет поделено на три секции.
Инструментарий специалиста
В этой секции гости обсудят, какие поставщики программных и аппаратных решений, в том числе в области форензики, ушли из России и как их уход повлиял на текущее состояние рынка. Спикеры рассмотрят российские альтернативы, способные заменить продукцию ушедших поставщиков. Отдельное внимание будет уделено отличию западных продуктов от отечественных.
Основные кейсы
Гости студии также поделятся своим мнением об основных проблемах, которыми занимаются специалисты цифровой криминалистики в настоящее время. Они расскажут о том, какой спектр задач решает форензика как в России, так и в других странах, а также обсудят их сходство и различие.
Кадровая проблема
Эта секция будет целиком посвящена кадровым проблемам форензики. Спикеры расскажут о том, кто и как проводит обучение криминалистов и какие вопросы возникают перед молодыми специалистами. Дополнительно будут рассмотрены различные законодательные проблемы, мешающие проводить качественные расследования преступлений в цифровой среде.
Ведущий эфира
Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting
Криминалист, исследователь в области кибербезопасности
Спикеры эфира
Даниэль Клюев, ведущий специалист по работе с данными
Юрий Тихоглаз, сооснователь Zero eDsicovery, экс-руководитель лаборатории компьютерной криминалистики PwC
Анонс эфира
Регистрация на эфир
23 сентября в 11:00 (Мск) состоится прямой эфир на тему «Российская форензика в условиях нового времени». Спикеры эфира расскажут об актуальных тенденциях в российской цифровой криминалистике в условиях нового времени, а также обсудят, как последние геополитические события отразились на рынке ПО и «железа». Гости эфира расскажут об основных кейсах, которые решает форензика в настоящий момент, обсудят вопросы актуальных изменений в законодательной базе и в том числе затронут проблемы кадровой политики.
Эфирное время будет поделено на три секции.
Инструментарий специалиста
В этой секции гости обсудят, какие поставщики программных и аппаратных решений, в том числе в области форензики, ушли из России и как их уход повлиял на текущее состояние рынка. Спикеры рассмотрят российские альтернативы, способные заменить продукцию ушедших поставщиков. Отдельное внимание будет уделено отличию западных продуктов от отечественных.
Основные кейсы
Гости студии также поделятся своим мнением об основных проблемах, которыми занимаются специалисты цифровой криминалистики в настоящее время. Они расскажут о том, какой спектр задач решает форензика как в России, так и в других странах, а также обсудят их сходство и различие.
Кадровая проблема
Эта секция будет целиком посвящена кадровым проблемам форензики. Спикеры расскажут о том, кто и как проводит обучение криминалистов и какие вопросы возникают перед молодыми специалистами. Дополнительно будут рассмотрены различные законодательные проблемы, мешающие проводить качественные расследования преступлений в цифровой среде.
Ведущий эфира
Дмитрий Борощук, руководитель агентства BeholderIsHere Consulting
Криминалист, исследователь в области кибербезопасности
Спикеры эфира
Даниэль Клюев, ведущий специалист по работе с данными
Юрий Тихоглаз, сооснователь Zero eDsicovery, экс-руководитель лаборатории компьютерной криминалистики PwC
👍4👎1
Рассмотрим кейс
Этот инцидент произошел с компанией в сфере маркетинга. В течение месяца клиенты, обращавшиеся в данное агентство, вели переговоры и уходили на моменте подписания договора. Пока один постоянный заказчик не рассказал, что с ним связались конкуренты, которые сделали более выгодное предложение, основываясь на тех услугах и ценах, что были предложены потерпевшими ранее. Стало ясно, что в организации происходит утечка данных. Возможно, есть проблемы с инфраструктурой или кто-то решил заработать «на стороне». Для понимания причин было инициировано расследование.
Первым делом необходимо было создать профиль для поиска данных, которые утекли. Это требуется для того, чтобы установить, какие рабочие станции и сотрудники работали с документами, очертив круг подозреваемых, чтобы затем выстроить цепочку событий. Для поиска был выбран один из договоров, который мог быть отслежен по названию, содержимому или кэшу.
В течение нескольких минут искомый файл был найден на трех рабочих станциях — у двух менеджеров по продажам и у помощника бухгалтера. Так как, по регламенту, помощник не имеет доступа к данному документу, был проведен более глубокий анализ того, как он получил доступ к файлу и что с ним происходило на его рабочей станции. Найдя все упоминания файла, специалисты проанализировали почтовые сервисы и внутренние мессенджеры и выяснили, что бухгалтер делегировал задачу на проверку информации. Это исключило его из списка подозреваемых. Поэтому следующим шагом стало исследование рабочих станций остальных участников событий.
Изучив действия на рабочей станции одного из менеджеров продаж, специалисты обнаружили подключение внешнего носителя, на который был скопирован файл вместе с другими важными документами. Данное действие было совершено вне рабочего времени. Это вызвало подозрения, ведь система пропусков показывала, что сотрудник ушел вовремя.
Соответственно, появилась задача обнаружить этот внешний диск и установить, с какими рабочими станциями он взаимодействовал. Для этого необходимо было пройти весь путь с начала, и эти шаги привели к другому работнику компании — SMM-менеджеру. Согласно правилам компании, данный специалист не имел доступа к подобным документам и, соответственно, не мог работать с ними. Так как документ был удален сразу же после просмотра, он не был обнаружен в первой выдаче запроса, но был зафиксирован при работе с внешним диском. Благодаря сохранению истории взаимодействия, стало понятно, что внешний носитель принадлежал SMM-менеджеру. Об этом свидетельствовала работа с личными папками на внешнем диске. На этом этапе стало ясно, что именно данный сотрудник является главным подозреваемым. Но для подтверждения этого факта требовалось проанализировать дальнейший путь файла с его рабочей станции. Изучив историю браузера, через который был сделан запрос на передачу файла с помощью сторонних ресурсов, выяснилось, что именно SMM-менеджер был виновником инцидента.
Вывод
В процессе расследования использовалось ПО «МК Enterprise», которое позволило значительно ускорить расследование события. Как? Благодаря обнаружению рабочих станций, непосредственно задействованных в происшествии, а также использованию частичного извлечения необходимых артефактов, файлов и приложений.
Использование данного ПО не отменяет классических технологий DFIR, так как все равно необходимо предоставить доказательства для дальнейшего решения конфликта, но значительно сокращает время и издержки, позволяя как можно быстрее остановить противоправные действия и восстановить рабочий процесс компании.
Этот инцидент произошел с компанией в сфере маркетинга. В течение месяца клиенты, обращавшиеся в данное агентство, вели переговоры и уходили на моменте подписания договора. Пока один постоянный заказчик не рассказал, что с ним связались конкуренты, которые сделали более выгодное предложение, основываясь на тех услугах и ценах, что были предложены потерпевшими ранее. Стало ясно, что в организации происходит утечка данных. Возможно, есть проблемы с инфраструктурой или кто-то решил заработать «на стороне». Для понимания причин было инициировано расследование.
Первым делом необходимо было создать профиль для поиска данных, которые утекли. Это требуется для того, чтобы установить, какие рабочие станции и сотрудники работали с документами, очертив круг подозреваемых, чтобы затем выстроить цепочку событий. Для поиска был выбран один из договоров, который мог быть отслежен по названию, содержимому или кэшу.
В течение нескольких минут искомый файл был найден на трех рабочих станциях — у двух менеджеров по продажам и у помощника бухгалтера. Так как, по регламенту, помощник не имеет доступа к данному документу, был проведен более глубокий анализ того, как он получил доступ к файлу и что с ним происходило на его рабочей станции. Найдя все упоминания файла, специалисты проанализировали почтовые сервисы и внутренние мессенджеры и выяснили, что бухгалтер делегировал задачу на проверку информации. Это исключило его из списка подозреваемых. Поэтому следующим шагом стало исследование рабочих станций остальных участников событий.
Изучив действия на рабочей станции одного из менеджеров продаж, специалисты обнаружили подключение внешнего носителя, на который был скопирован файл вместе с другими важными документами. Данное действие было совершено вне рабочего времени. Это вызвало подозрения, ведь система пропусков показывала, что сотрудник ушел вовремя.
Соответственно, появилась задача обнаружить этот внешний диск и установить, с какими рабочими станциями он взаимодействовал. Для этого необходимо было пройти весь путь с начала, и эти шаги привели к другому работнику компании — SMM-менеджеру. Согласно правилам компании, данный специалист не имел доступа к подобным документам и, соответственно, не мог работать с ними. Так как документ был удален сразу же после просмотра, он не был обнаружен в первой выдаче запроса, но был зафиксирован при работе с внешним диском. Благодаря сохранению истории взаимодействия, стало понятно, что внешний носитель принадлежал SMM-менеджеру. Об этом свидетельствовала работа с личными папками на внешнем диске. На этом этапе стало ясно, что именно данный сотрудник является главным подозреваемым. Но для подтверждения этого факта требовалось проанализировать дальнейший путь файла с его рабочей станции. Изучив историю браузера, через который был сделан запрос на передачу файла с помощью сторонних ресурсов, выяснилось, что именно SMM-менеджер был виновником инцидента.
Вывод
В процессе расследования использовалось ПО «МК Enterprise», которое позволило значительно ускорить расследование события. Как? Благодаря обнаружению рабочих станций, непосредственно задействованных в происшествии, а также использованию частичного извлечения необходимых артефактов, файлов и приложений.
Использование данного ПО не отменяет классических технологий DFIR, так как все равно необходимо предоставить доказательства для дальнейшего решения конфликта, но значительно сокращает время и издержки, позволяя как можно быстрее остановить противоправные действия и восстановить рабочий процесс компании.
👍2
Коллеги, давайте разберемся с Агентским режимом! Внесем ясность, поймем, для чего он нужен, как, кому и зачем его можно и нужно применять.
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
Что это
Агентский режим представляет из себя ПО, которое позволяет централизованно, удаленно извлекать данные из рабочих станций сотрудников внутри (а при определенных настройках и вне) корпоративной сети. А именно искать файлы, снимать полные образы дисков, артефакты операционной системы, данные приложений, почтовых клиентов, дампы оперативной памяти и т.д.
Как это работает
По своей сути функционал Агентского режима основан на трех модулях: один устанавливается на сервер, второй — на эндпоинт (рабочую станцию), а третий — на ПК сотрудника службы безопасности, который разворачивает агентов на ПК сотрудников, запуская .exe локально или проводя установку удаленно (посредством сервера, используя логин и пароль сотрудника или администратора домена). Затем он формирует из агентов рабочие группы по отделам, кейсам или другим признакам, формирует пул задач для агентов и отправляет задачи на эндпоинты. Извлечение данных происходит на эндпоинтах, передается на сервер и оттуда — на ПК специалиста ИБ.
Для чего использовать
Кейсов применения, откровенно говоря, масса: от банального аудита информационной безопасности до случаев (достаточно распространенных, к сожалению), когда на 5000 рабочих станций приходится всего 5 специалистов ИБ, а проблемы нужно решать оперативно. Не стоит забывать и про поиск грифованных документов, экстренного снятия «горячего» дампа оперативной памяти и всего того, что требует скорости, массовости или дистанционных действий.
Если хотите опробовать функционал Агентского режима, то имеет смысл взять на пробу демоверсию «MK Enterprise» от «МКО Системы».
Ссылочку прилагаем: https://mko-security.ru/
mko-security.ru
МКО Системы
Компания-разработчик программного обеспечения
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.
для расследования инцидентов в сфере корпоративной и государственной информационной безопасности.
Давайте поговорим о кейсе, с которым все знакомы, но которого «ни у кого не было». Итак, дамы и господа, сегодня кратенько зацепим «тварь по имени рансомварь». Или чем могут помочь DFIR-инструменты при расследовании инцидента шифрования данных.
Глава 1
Утро, кофе, звонок, паника: «Все пропало, ничего не открывается, требование выкупа». Далее — действия на усмотрение руководства: МВД, ФСБ, звонок в специализированные компании, если чувствительность информации позволяет, выплата выкупа или другие активности. Надеемся на то, что все закончится удачно и обойдется малой кровью/деньгами.
Но это не конец. Делаем выводы и деконструируем кейс:
1) ransomware был подсажен;
2) зашифровали важные (целевые) данные;
3) выдвинули требования о выкупе;
4) рабочая станция (или их группа), ставшая точкой проникновения, неизвестна;
5) метод проникновения неизвестен;
6) реальный масштаб инцидента неизвестен;
7) неизвестны меры по устранению последствий внутри и предотвращению схожих инцидентов в будущем.
Чтобы к концу квартала не наступить на те же грабли еще раз, нужно расследовать и заполнять пробелы в понимании инцидента…
Глава 2
Собираем волю в кулак, завариваем по два ведра кофе на специалиста, выбиваем у HR’ов разрешение курить в офисе, звоним супругам и предупреждаем, чтобы сегодня ужинали без нас. Возможно, завтрак тоже придется провести в одиночестве.
1) Собираем данные со всех устройств, которые попадают под подозрение. Помним, что много — не мало, и надеемся на то, что тому, кто первым прибыл на инцидент, хватило опыта не просто дернуть шнур и изолировать скомпрометированные машины, но и снять дамп оперативной памяти.
2) Кропотливо проводим кросс-анализ всех извлеченных данных. В ход пускаем все: поиск по ключевым словам, регулярным выражениям, артефактам, службам, приложениям, сетевым подключениям и активностям, подключениям внешних носителей и т.д.
3) На основе полученных данных строим гипотезы и проверяем их. Найдя истинную, выстраиваем хронологию событий инцидента — чем точнее, тем лучше. Определяем круг задействованных лиц.
4) Идентифицируем уязвимости, которые привели к возможности возникновения инцидента.
Глава 3
Преодолевая усталость, превозмогая резь в глазах и боль в затекшей спине, приступаем к, возможно, самому главному этапу.
1) Формируем подробный отчет по инциденту. Не просто бумажку, а действительно содержательный, понятный и добротный отчет. Вы же понимаете, о чем я.
2) Разрабатываем регламенты для предотвращения подобных инцидентов в будущем, включая политику для сотрудников, систем безопасности, дописываем плэйбуки. Делаем это максимально подробно и доходчиво, по дороге выписав люлей всем, кто виноват (даже себе любимому, если необходимо). Помните — проваливая подготовку, вы готовитесь к провалу!
Глава 1
Утро, кофе, звонок, паника: «Все пропало, ничего не открывается, требование выкупа». Далее — действия на усмотрение руководства: МВД, ФСБ, звонок в специализированные компании, если чувствительность информации позволяет, выплата выкупа или другие активности. Надеемся на то, что все закончится удачно и обойдется малой кровью/деньгами.
Но это не конец. Делаем выводы и деконструируем кейс:
1) ransomware был подсажен;
2) зашифровали важные (целевые) данные;
3) выдвинули требования о выкупе;
4) рабочая станция (или их группа), ставшая точкой проникновения, неизвестна;
5) метод проникновения неизвестен;
6) реальный масштаб инцидента неизвестен;
7) неизвестны меры по устранению последствий внутри и предотвращению схожих инцидентов в будущем.
Чтобы к концу квартала не наступить на те же грабли еще раз, нужно расследовать и заполнять пробелы в понимании инцидента…
Глава 2
Собираем волю в кулак, завариваем по два ведра кофе на специалиста, выбиваем у HR’ов разрешение курить в офисе, звоним супругам и предупреждаем, чтобы сегодня ужинали без нас. Возможно, завтрак тоже придется провести в одиночестве.
1) Собираем данные со всех устройств, которые попадают под подозрение. Помним, что много — не мало, и надеемся на то, что тому, кто первым прибыл на инцидент, хватило опыта не просто дернуть шнур и изолировать скомпрометированные машины, но и снять дамп оперативной памяти.
2) Кропотливо проводим кросс-анализ всех извлеченных данных. В ход пускаем все: поиск по ключевым словам, регулярным выражениям, артефактам, службам, приложениям, сетевым подключениям и активностям, подключениям внешних носителей и т.д.
3) На основе полученных данных строим гипотезы и проверяем их. Найдя истинную, выстраиваем хронологию событий инцидента — чем точнее, тем лучше. Определяем круг задействованных лиц.
4) Идентифицируем уязвимости, которые привели к возможности возникновения инцидента.
Глава 3
Преодолевая усталость, превозмогая резь в глазах и боль в затекшей спине, приступаем к, возможно, самому главному этапу.
1) Формируем подробный отчет по инциденту. Не просто бумажку, а действительно содержательный, понятный и добротный отчет. Вы же понимаете, о чем я.
2) Разрабатываем регламенты для предотвращения подобных инцидентов в будущем, включая политику для сотрудников, систем безопасности, дописываем плэйбуки. Делаем это максимально подробно и доходчиво, по дороге выписав люлей всем, кто виноват (даже себе любимому, если необходимо). Помните — проваливая подготовку, вы готовитесь к провалу!
👍2
О malware и аудите ИБ
Все совпадения случайны. Давайте считать, что этот кейс — продукт перегретого сознания автора.
Представим себе *CompanyName* и все при ней: периметр со всеми атрибутами защиты, наружу не «торчит» почти ничего, SIEM начищенный блестит. Но ребята на SIEM надеются, но сами не плошают. Периодически проводят аудит, регламенты и плэйбуки апдейтят, хороших сотрудников по голове гладят, а неблагонадежных индивидов — против шерсти. В общем, не зря свой хлеб кушают.
И вот в ходе одного из аудитов выясняется, что есть следы проникновения внутрь периметра. Ничего не украдено, ничего не зашифровано, но часть эндпоинтов малварью скомпрометировано, без последствий пока что…
Но нет дыма без огня, и специалисты ИБ инициируют расследование. Изоляция, дампы оперативной памяти, анализ сетевых подключений, артефакты, YARA-правила — в общем, по собственным плэйбукам и отработали, а чего в плэйбуках не было — отработали и дописали.
Итог:
— аудит провели;
— следы проникновения нашли;
— расследование инициировали;
— точку входа определили;
— затронутые злоумышленником элементы сети и активность на них выявили;
— «дырку» залатали;
— инцидент предотвратили до возникновения ущерба;
— плэйбуки дополнили, регламенты отредактировали.
В общем, ребята из *CompanyName* классно все отработали. Будьте как ребята из *Company Name*!
Все совпадения случайны. Давайте считать, что этот кейс — продукт перегретого сознания автора.
Представим себе *CompanyName* и все при ней: периметр со всеми атрибутами защиты, наружу не «торчит» почти ничего, SIEM начищенный блестит. Но ребята на SIEM надеются, но сами не плошают. Периодически проводят аудит, регламенты и плэйбуки апдейтят, хороших сотрудников по голове гладят, а неблагонадежных индивидов — против шерсти. В общем, не зря свой хлеб кушают.
И вот в ходе одного из аудитов выясняется, что есть следы проникновения внутрь периметра. Ничего не украдено, ничего не зашифровано, но часть эндпоинтов малварью скомпрометировано, без последствий пока что…
Но нет дыма без огня, и специалисты ИБ инициируют расследование. Изоляция, дампы оперативной памяти, анализ сетевых подключений, артефакты, YARA-правила — в общем, по собственным плэйбукам и отработали, а чего в плэйбуках не было — отработали и дописали.
Итог:
— аудит провели;
— следы проникновения нашли;
— расследование инициировали;
— точку входа определили;
— затронутые злоумышленником элементы сети и активность на них выявили;
— «дырку» залатали;
— инцидент предотвратили до возникновения ущерба;
— плэйбуки дополнили, регламенты отредактировали.
В общем, ребята из *CompanyName* классно все отработали. Будьте как ребята из *Company Name*!
Утечки, утечки, утечки — в последнее время, пожалуй, самые обсуждаемые в СМИ инциденты в сфере информационной безопасности. Вот и Минцифры на днях вынесло на обсуждение новый законопроект по оборотным штрафам — печальные инциденты «Яндекс Еды», «СДЭК» и Delivery Club явно сильно повлияли на настроения законотворцев. Если кратко, то финансовую ответственность при утечке данных от 10 000 до 100 000 субъектов понесут руководители компаний: им придется заплатить от 200 тыс. до 400 тыс. руб. Для ИП и юрлиц — 0,02% от оборота, но не менее 1 млн руб.
В новой версии есть и смягчающие обстоятельства — первая утечка, добровольный аудит ИБ и подтверждение предпринятых мер по защите и противодействию утечкам.
На стадии законопроекта всегда остается много белых пятен в отношении того, как будет трактоваться то или иное положение. Ясно одно, Минцифры явно не устраивает текущий порядок дел, и законодатели хотят повысить уровень защищенности персональных данных, в частности в корпоративном сегменте. Похоже, что команды по форензике и реагированию (DFIR) ждут очень интересные и насыщенные времена.
В новой версии есть и смягчающие обстоятельства — первая утечка, добровольный аудит ИБ и подтверждение предпринятых мер по защите и противодействию утечкам.
На стадии законопроекта всегда остается много белых пятен в отношении того, как будет трактоваться то или иное положение. Ясно одно, Минцифры явно не устраивает текущий порядок дел, и законодатели хотят повысить уровень защищенности персональных данных, в частности в корпоративном сегменте. Похоже, что команды по форензике и реагированию (DFIR) ждут очень интересные и насыщенные времена.
👍3
10 ноября в Москве в Mamaison (Покровка, 40с2) состоится новое мероприятие CIRF (Corporate Incident Response and Forensics), посвященное инструментам, трендам и методикам расследования, реагирования и предотвращения инцидентов в сфере ИБ.
В программе — бизнес-завтрак, интересная конференция с практикующими спикерами, обмен опытом и куча новых полезных контактов.
Если вам есть о чем рассказать со сцены и вы готовы поделиться своим бесценным уникальным опытом, мы открыты к предложениям и с радостью рассмотрим ваши доклады!
В случае если вы хотите поучаствовать в зарождении нового бизнес-ориентированного ИБ-сообщества, пообщаться с экспертами и получить альтернативный взгляд на наболевшее — ждем вас как гостя!
Stay tuned, stay online — подробнее о мероприятии расскажем в ближайшее время!
А пока регистрируемся здесь:
http://mko-security.ru/cirf
В программе — бизнес-завтрак, интересная конференция с практикующими спикерами, обмен опытом и куча новых полезных контактов.
Если вам есть о чем рассказать со сцены и вы готовы поделиться своим бесценным уникальным опытом, мы открыты к предложениям и с радостью рассмотрим ваши доклады!
В случае если вы хотите поучаствовать в зарождении нового бизнес-ориентированного ИБ-сообщества, пообщаться с экспертами и получить альтернативный взгляд на наболевшее — ждем вас как гостя!
Stay tuned, stay online — подробнее о мероприятии расскажем в ближайшее время!
А пока регистрируемся здесь:
http://mko-security.ru/cirf
Интересная ситуация разворачивается вокруг инициативы Минцифры по формированию фонда компенсаций для лиц, пострадавших от утечек информации.
На одном берегу, собственно, Минцифры, которое хочет сформировать такой фонд из нашумевших в индустрии оборотных штрафов. Допустил инцидент — заплати штраф, а денежку мы пострадавшим передадим. Инициатива на первый взгляд здравая, но адекватного механизма расчета компенсации пока не видно. Хотя ряд юристов говорит, что за счет этой инициативы можно неплохо прокачать граждан РФ в подаче коллективных исков. (Большой привет провайдерам услуг, ушедшим из РФ.)
На другом берегу — Ассоциация больших данных, заявляющая, что создать фонд — дорого и для его управления потребуются немалые деньги из бюджета страны, а размер компенсации для отдельных граждан будет мизерным. И вообще давайте мы эти деньги на аудит ИБ потратим, толку больше будет — тоже инициатива здравая. Ведь все понимают, что от инцидентов никто не застрахован, а лишний аудит ИБ — никогда не лишний! (Вот только непонятно, как быть с пострадавшими.)
А вообще, если бы мне давали по 50 рублей за каждый звонок из стоматологии, риелторского агентства или ребят, которые вот прям сейчас спишут мне и всей родне все долги…
На одном берегу, собственно, Минцифры, которое хочет сформировать такой фонд из нашумевших в индустрии оборотных штрафов. Допустил инцидент — заплати штраф, а денежку мы пострадавшим передадим. Инициатива на первый взгляд здравая, но адекватного механизма расчета компенсации пока не видно. Хотя ряд юристов говорит, что за счет этой инициативы можно неплохо прокачать граждан РФ в подаче коллективных исков. (Большой привет провайдерам услуг, ушедшим из РФ.)
На другом берегу — Ассоциация больших данных, заявляющая, что создать фонд — дорого и для его управления потребуются немалые деньги из бюджета страны, а размер компенсации для отдельных граждан будет мизерным. И вообще давайте мы эти деньги на аудит ИБ потратим, толку больше будет — тоже инициатива здравая. Ведь все понимают, что от инцидентов никто не застрахован, а лишний аудит ИБ — никогда не лишний! (Вот только непонятно, как быть с пострадавшими.)
А вообще, если бы мне давали по 50 рублей за каждый звонок из стоматологии, риелторского агентства или ребят, которые вот прям сейчас спишут мне и всей родне все долги…
Спецы из «Лаборатории Касперского» не только борются с малварью, уязвимостями и прочими угрозами, но и не забывают о социальных исследованиях (мы, кстати, поддерживаем такую позицию). На днях они закончили интересное исследование, напрямую связанное с утечками персональных данных.
Для мира, где девайсы знают о нас больше, чем мы сами (как будто есть какой-то другой мир), данные неутешительны:
49% респондентов вообще не в курсе, что о них можно найти информацию в интернете, 26% уверены, что данные о них из сети удалить нельзя, при этом 12% не знают, как это сделать.
Интересно, что порядка 20% опрошенных смущают только данные, которые компрометируют их банковские карты, а 17% вообще не переживают по поводу персональных данных в сети.
Честно говоря, нас сильно беспокоит осведомленность людей о «кибергигиене» не только в разрезе персональных данных, но и в формате корпоративной безопасности. На каждом ИБ-мероприятии с трибун и в кулуарах слышна одна и та же фраза: «Если бы всегда соблюдались инструкции и регламенты по обеспечению информационной безопасности, у специалистов ИБ было бы намного меньше работы».
Для мира, где девайсы знают о нас больше, чем мы сами (как будто есть какой-то другой мир), данные неутешительны:
49% респондентов вообще не в курсе, что о них можно найти информацию в интернете, 26% уверены, что данные о них из сети удалить нельзя, при этом 12% не знают, как это сделать.
Интересно, что порядка 20% опрошенных смущают только данные, которые компрометируют их банковские карты, а 17% вообще не переживают по поводу персональных данных в сети.
Честно говоря, нас сильно беспокоит осведомленность людей о «кибергигиене» не только в разрезе персональных данных, но и в формате корпоративной безопасности. На каждом ИБ-мероприятии с трибун и в кулуарах слышна одна и та же фраза: «Если бы всегда соблюдались инструкции и регламенты по обеспечению информационной безопасности, у специалистов ИБ было бы намного меньше работы».