Форензика: искусство расследования инцидентов ИБ

[BOOX]

Форензика — это наука, которая стала незаменимой в расследовании киберпреступлений, а также преступлений, совершенных с помощью ИКТ.


С помощью современных методов и технологий компьютерные криминалисты способны раскрыть самые сложные и запутанные инциденты. В статье рассказываем, что такое форензика, чем занимают эксперты-форензики и каковы перспективы развития этого направления кибербезопасности в России.

Что такое форензика​

Слово «форензика» пришло к нам из английского языка и в буквальном переводе это криминалистика. Поэтому на западе форензикой называют все, что связано с наукой о доказательствах и работе с ними. В России слово форензика имеет одно значение — компьютерная криминалистика. Она одновременно и наука, и услуга на рынке. Рассмотрим подробнее каждое из этих направлений компьютерной форензики.

Форензика как наука​

Форензика как наука — это процесс извлечения, анализа и предоставления электронных доказательств для раскрытия киберпреступлений. Она играет важную роль в следственной деятельности и помогает правоохранительным органам доказать идентичность преступника, обнаружить источник преступной деятельности и восстановить цепочку событий.

Специалисты по форензике занимаются извлечением данных с устройств и систем, которые могут быть связаны с преступными действиями — компьютеров, мобильных телефонов, планшетов, серверов и т. д. После извлечения данных проводится анализ для выявления цифровых следов и понимания, какие действия были совершены и кем. Анализ может включать поиск удаленных файлов, логов, метаданных, сетевой активности, шифрования и прочего. Но зачастую эксперты сталкиваются со сложностями в своей работе.

Самая большая боль любого специалиста по реагированию на инциденты и компьютерной криминалистике — прийти на место происшествия и обнаружить, что все «зараженные» машины уже перезалиты, восстановлены из добытых резервных копий, были осуществлены попытки как-либо зачистить пространство, еще и дополнительно запущены утилиты «скорой помощи» для экстренной проверки систем от антивирусных вендоров, которые при обнаружении любого подозрительного файла по умолчанию сразу удаляют его.

Также сложности возникают из-за недостаточной подготовки на более раннем этапе. Например, недостаточная детализация журналов приводит, в лучшем случае, к увеличению времени расследования, но может ощутимо сократить детализацию картины инцидента. Еще одна распространенная проблема заключается в получении неполной информации от заказчика по инциденту, например, о времени обнаружения инцидента, действиях, которые предпринимались для разрешения проблемы, наличии средств защиты информации в инфраструктуре или о хостах, доступных извне. То есть недостаточное знание своей инфраструктуры и отсутствие ведения ее активов.

Компьютерная форензика также используется для восстановления данных, которые были умышленно или случайно удалены или изменены. Это помогает следователям получить доступ к информации, которая поможет раскрыть киберпреступление и привести его исполнителя к ответственности.

Важный аспект компьютерной форензики как криминалистической науки — соблюдение процедур и норм права. Форензические эксперты должны следовать строгим процедурам, чтобы обеспечить целостность собранных доказательств и их допустимость в суде. Также они должны учитывать конфиденциальность и защиту данных, чтобы не нарушить приватность людей, не связанных с преступлением.

Эксперты-форензики привлекаются к раскрытию разных киберпреступлений — мошенничеств, краж личной информации, нарушений авторских прав, домогательств, шантажа и т. д. Также они проводят судебную компьютерно-техническую экспертизу (СКТЭ), отвечая на вопросы, поставленные судьей.

Форензика как бизнес-услуга​

Для бизнеса привлечение киберпреступника в отвественности — не главная цель. Частным компаниям, корпорациям и стартапам важнее выявить цепочку атаки, расследовать инцидент и получить рекомендации специалиста по предотвращению подобных ситуаций в будущем. Но стоит отметить, что в интересах заказчика заранее подготовиться и провести превентивные мероприятия по предотвращению инцидентов.

Если говорить о превентивных мерах, то сначала важно убедиться, что включено расширенное логирование событий ОС, например, события создания процессов. И эти логи хранятся достаточное количество времени — от месяца и как можно дольше. И желательно не только на самих устройствах.

Наличие карты сети со списком СЗИ и другого софта также помогает при расследовании инцидентов. До наступления инцидента важно проверить, насколько быстро в нерабочее время (часто инциденты наступают именно в этот период) системные администраторы смогут осуществить централизованный запуск необходимого ПО, а также убедиться, что необходимые для этого учетные данные хранятся у нескольких человек на случай, если один из них будет недоступен.

Если превентивные меры выполнены, при выявлении инцидента остается назначить сотрудника для консультации специалистов по реагированию на инциденты и оперативно решить юридические вопросы: подписать NDA и другие документы. Иногда этот процесс занимает много времени, поэтому мы дополнительно рекомендуем снимать требуемые команде реагирования данные сразу, а передавать после подписания всех необходимых документов.

Расследование форензик-эксперта обычно включает в себя следующие шаги:

1. Идентификация проблемы или инцидента для расследования.
2. Секвестр цифровых устройств, чтобы предотвратить изменения данных.
3. Получение копии данных с устройства для проведения анализа.
4. Анализ изъятых данных для выявления следов и доказательств.
5. Подготовка отчета для клиента с результатами и экспертными заключениями.

Кроме расследования инцидентов, экспертов привлекают для внутренних корпоративных проверок, финансового форензик-аудита и т. д.

Перспективы развития форензики в России​

В связи с быстрым технологическим развитием и повсеместным использованием интернета, компьютерная форензика становится все более важной и востребованной.

Стоит отметить, что направление форензики, расследование инцидентов и вообще работа по выявлению, например, утечки конфиденциальной информации в России исторически весьма популярно и прекрасно развивается.

Кроме того, расследование инцидента это не столько софт, сколько компетенции и экспертиза специалистов, которые проводят расследование. И с этим в нашей стране тоже традиционно всё неплохо.

В России это направление информационной безопасности активно развивается и востребовано в банковской и IT сферах. Стоит отметить, что уход зарубежных вендоров никак не сказался на уровне и качестве российской форензики.

В расследовании киберпреступлений важны определенные инструменты. Западные вендоры ушли, однако, отечественные компании предлагают прекрасные решения для работы форензик-экспертов. Например, решения компании F.A.C.C.T. — Managed XDR и Threat Intelligence. MXDR позволяет централизованно управлять защитой всей инфраструктуры, а также проводить расследования кибератак. Threat Intellegence — система, позволяющая быстро определить актуальный источник угрозы на основе данных о тактиках, инструментах и активности злоумышленников. Кроме того, решения такого класса есть и у ряда отечественных вендоров, таких как Kaspersky и Positive Technologies.

Если же говорить конкретно о программном обеспечения для форензики, то, несмотря на то, что развитие этого направления в России началось несколько позже глобального рынка, есть ряд достойных решений и у отечественных производителей: например, Elcomsoft, ePlat4m, Microolap.

Перспективы развития форензики как компьютерной криминалистики связаны с постоянным технологическим прогрессом, ростом угроз кибербезопасности и важностью цифровых данных для государства, бизнеса и судебной практики. Поэтому мы будем наблюдать за развитием форензики и ее результатами — эффективными расследованиями и предотвращенем преступлений в цифровой среде.

Для просмотра ссылки необходимо нажать Вход или Регистрация