Практика расследования киберинцидентов (форензика) необходима для верного реагирования на преступления и предотвращения подобных случаев в будущем. Уже сейчас существуют продукты и услуги, помогающие экспертам в расследованиях, основанные на различных инструментах компьютерной криминалистики.
- Введение
- Инструменты расследования инцидентов (форензики)
- Мировой рынок решений по расследованию инцидентов
- Российский рынок решений по расследованию инцидентов
- Обзор отечественного рынка решений по расследованию инцидентов
- 5.1. Elcomsoft Premium Forensic Bundle
- 5.2. ePlat4m Security GRC
- 5.3. EtherSensor
- 5.4. Group-IB Managed XDR
- 5.5. Group-IB Threat Intelligence
- 5.6. «Гарда Монитор»
- 5.7. «Мобильный криминалист Скаут»
- Обзор зарубежного рынка решений по расследованию инцидентов
- 6.1. Autopsy
- 6.2. EnCase Forensic
- 6.3. Forensic Toolkit
- 6.4. ProDiscover Forensics
- 6.5. Volatility Framework
- 6.6. X-Ways Forensics
- Выводы
Введение
Количество преступлений в информационной среде с каждым годом растёт, атаки становятся всё изощрённее и сложнее, преступники — хитрее. Специалисты по информационной безопасности должны эффективнее обрабатывать инциденты и следить за состоянием систем для предотвращения крупного ущерба и потерь для компании. Здесь на помощь приходит форензика.
Форензика относится к части криминалистики, отвечающей за поиск и исследование доказательств в компьютерной среде. В задачи экспертов входят изучение способа взлома, построение сценария атаки, восстановление хронологии, сбор и изучение следов, оставшихся после киберпреступной операции, а также подготовка официального заключения, если это требуется для правоохранительных органов.
Ранее мы писали о том, зачем организациям в России расследовать киберинциденты. Сегодня всё больше и больше компаний формируют специальные отделы или же назначают специалистов для расследований киберинцидентов. Экспертам по форензике значительно упрощают и ускоряют работу готовые решения. Крупные ИТ-компании по всему миру предлагают свои услуги в качестве экспертов, а также продают разнообразные продукты, функционально отвечающие всем необходимым требованиям.
На прошедшем недавно эфире AM Live мы с экспертами рассуждали на тему расследования киберинцидентов в условиях постоянных кибератак. Обратили внимание на особенности подготовки организаций к проведению расследований. Подробнее читайте в статье «Как проводить расследование киберинцидентов в условиях кибератак».
Инструменты расследования инцидентов (форензики)
Методы и инструменты форензики предоставляют возможность лучше понять произошедший инцидент, провести внутреннее расследование и решить различные задачи, такие как сбор доказательств. Процесс расследования инцидентов с применением инструментов форензики содержит 4 этапа:
- Сбор данных.
- Экспертиза.
- Анализ.
- Формирование отчёта.
Первый этап включает в себя идентификацию, запись и маркировку данных, связанных с атакой или другим событием по информационной безопасности. Важно, что при этом целостность данных должна сохраняться.
Экспертиза подразумевает извлечение информации из собранных данных, её оценку и формирование доказательств киберинцидента. При этом собранная на первом этапе информация может быть в колоссальном количестве, поэтому важно выделять только то, что реально представляет интерес для расследования.
Криминалистический анализ необходим для построения выводов на основе полученных данных. Сюда входит определение людей, мест, предметов, времени и того, как все эти элементы связаны между собой.
Последний этап подразумевает подготовку и представление результатов анализа для дальнейшего использования (предотвращение подобных случаев, внутреннее расследование, передача информации в правоохранительные органы).
К основным и базовым методам работы эксперта по форензике относятся:
- Создание образа жёсткого диска.
- Обработка сформированных образов дисков.
- Создание дампа оперативной памяти.
- Просмотр и извлечение данных из теневых копий.
- Извлечение паролей.
- Восстановление и анализ удалённых файлов.
- Анализ сетевого стека и браузеров.
- Анализ сообщений пользователей.
- Исследование данных мобильных устройств.
Ряд компаний предоставляет свои услуги или программные разработки для проведения расследований киберицидентов. Объединение инструментов форензики с удобным интерфейсом и общими принципами позволяет упростить и ускорить работу экспертов как при расследовании уже произошедших инцидентов, так и с целью предотвратить повторение подобных случаев.
Мировой рынок решений по расследованию инцидентов
Аналитики Cybersecurity Ventures прогнозируют, что затраты связанные с киберпреступностью будут расти ежегодно на 15 % в течение следующих пяти лет, а ежегодный глобальный ущерб от киберпреступлений составит 10,5 триллиона долларов США уже к 2025 году. Востребованность специалистов по кибербезопасности также будет постоянно расти. Не предвидится переизбытка профессионалов, которые могут не только защитить от атак, но и справиться с их последствиями. По данным крупнейшего в мире производителя аппаратного и программного обеспечения IBM, большинству компаний требуется 197 дней, чтобы обнаружить преступление, и до 69 дней, чтобы его локализовать.
Форензика как отдельная сфера услуг и продуктов — относительно новое явление. Однако уже сейчас сформировались основные лидеры рынка, хорошо зарекомендовавшие себя как эксперты и разработчики ПО по форензике. В частности, обращают на себя внимание следующие продукты:
- Autopsy.
- EnCase Forensic.
- Forensic Toolkit (FTK).
- ProDiscover Forensics.
- Volatility Framework.
- X-Ways Forensics.
Российский рынок решений по расследованию инцидентов
По оценке RTM Group, в 2021 году в России зарегистрировано около 518 тыс. киберпреступлений, что на 1,4 % больше, чем годом ранее, и в 1,8 раза больше показателя 2019 года. Общий ущерб страны от действий хакеров, по словам экспертов, составил 150 млрд рублей. Вместе с этим, по данным МВД, расследование киберпреступлений может длиться месяцами.
По данным «Лаборатории Касперского», с января по апрель 2022 г. в России число атак троянских программ, занимающихся воровством информации, на малый и средний бизнес выросло более чем в полтора раза по сравнению с аналогичным периодом прошлого года.
Ранее мы проводили более детальный анализ отечественного рынка информационной безопасности и составили свой прогноз его развития, где выделили сегменты ИБ, которые будут прогрессировать в ближайшие годы.
Несмотря на то что в России развитие сферы форензики началось несколько позже глобального рынка, уже сейчас есть ряд компаний, которые предоставляют решения по компьютерной криминалистике на достойном уровне, не уступая мировым лидерам. Выделим следующие продукты:
- Elcomsoft Premium Forensic Bundle.
- ePlat4m Security GRC.
- EtherSensor.
- Group-IB Managed XDR и Group-IB Threat Intelligence.
- «Гарда Монитор».
- «Мобильный криминалист Скаут».
Обзор отечественного рынка решений по расследованию инцидентов
Elcomsoft Premium Forensic Bundle
Elcomsoft Premium Forensic Bundle представляет собой полный набор инструментов для компьютерной и мобильной криминалистики. Российская компания Elcomsoft специализируется на разработке программ по восстановлению утраченных паролей. Пакет Premium Forensic Bundle состоит из продуктов для извлечения, просмотра и анализа данных.
Более 20 решений для мобильной криминалистики и ПО для снятия парольной защиты составляют Premium Forensic Bundle. Все они поддерживают множество форматов данных, облачных сервисов и мобильных систем.
Рисунок 1. Пользовательский интерфейс одного из продуктов пакета
Достоинства:
- Максимальные редакции всех продуктов, при выпуске новой версии продукт предоставляется без дополнительной платы.
- Аппаратное ускорение на видеокартах AMD, NVIDIA.
- Сертификация Microsoft Gold Certified Partner, Intel Software Partner.
- Простота интерфейса, подсказки по функциям.
Недостатки:
- Состав пакета изменить по необходимости нельзя, «всё или ничего».
- Трудность освоения всех возможностей инструментов для криминалистики.
Подробнее о продукте можно узнать на сайте компании.
ePlat4m Security GRC
Компания «КИТ» — российский разработчик универсальной платформы автоматизации бизнес-процессов ePlat4m и прикладных систем в сфере информационной безопасности.
Платформа ePlat4m Orchestra (ePlat4m Security GRC) предназначена для автоматизации процессов ИБ и их интеграции в систему управления организацией. Есть возможность подключать новые готовые решения и разрабатывать собственные благодаря модульной архитектуре.
Рисунок 2. Модульная архитектура ePlat4m Security GRC
Расследование инцидентов в информационной безопасности, организация процессов их выявления и реагирования на них реализуется внутри модуля «Управление инцидентами ИБ». Этот модуль автоматизирует совместную работу, использует внешние источники данных, регистрирует и обрабатывает события.
Достоинства:
- Модульная архитектура и возможность добавления только необходимых модулей.
- Возможность разработки собственных процессов.
- Интеграция со внешними системами.
Недостатки:
- Отсутствие возможности импорта инцидентов по расписанию в некоторых модулях.
- Отсутствие эксплуатационной документации и слабый уровень информационной поддержки модуля «Центр ГосСОПКА» на сайте производителя.
Платформа ePlat4m Security GRC была рассмотрена ранее в нашем обзоре. Также подробнее с продуктом можно ознакомиться на сайте компании.
EtherSensor
Платформа для анализа сетевого трафика в режиме реального времени Microolap EtherSensor способна распознавать сообщения, сетевые события и другие объекты системных и пользовательских коммуникаций.
EtherSensor пассивно анализирует сетевой трафик, извлекая объекты коммуникаций и их метаданные, не оказывая влияния на сетевую инфраструктуру организации. Основная задача платформы решается на всех уровнях модели OSI, от канального до уровня приложений. EtherSensor использует собственные технологии для перехвата данных и реконструкции коммуникаций, позволяющие не архивировать информацию и отправлять результаты системам-потребителям.
Рисунок 3. Архитектура платформы EtherSensor
К основным достоинствам продукта можно отнести следующие:
- Поддержка большого числа протоколов для перехвата и анализа данных.
- Возможность приобрести только необходимые модули.
- Низкое потребление серверных ресурсов.
- Возможность интеграции платформы с широким спектром систем защиты и обеспечения информационной безопасности.
Основные недостатки платформы:
- Отсутствие сертификатов ФСТЭК России по требованиям безопасности информации.
- Отсутствие поддержки операционных систем семейства Linux.
Ключевые функциональные возможности и работа платформы рассмотрены в соответствующем обзоре. Подробнее с продуктом можно ознакомиться на сайте компании.
Group-IB Managed XDR
Group-IB Managed XDR (Extended Detection and Response) предназначен для выявления и предотвращения киберугроз в едином интерфейсе. Решение позволяет централизованно управлять защитой сетевого трафика, почты, конечных рабочих станций, предоставлять услуги мониторинга, проактивной охоты на угрозы и реагирования на инциденты.
Входящий в это решение модуль Endpoint Detection & Response (EDR) отвечает за защиту конечных станций и реагирование в случае обнаружения угроз безопасности. В этом модуле собирается широкий набор событий и артефактов для реагирования на инциденты и проведения расследований.
Рисунок 4. Раздел «Защита конечных станций»
Достоинства:
- Удалённое подключение к хосту через консоль позволяет эксперту дистанционно просмотреть журналы, запустить скрипты и криминалистический софт.
- Непрерывный сбор системных событий с рабочих станций.
- Возможность изоляции заражённого хоста.
- Блокировка вредоносных файлов и процессов.
Недостатки:
- Отсутствие русского языка в интерфейсе.
- Отсутствие технической поддержки онлайн.
- Нет возможности самостоятельного написания правил реагирования на инциденты.
По ссылке представлено сравнение данного решения с подобными сервисами по основным возможностям и функциям. Подробнее с продуктом можно ознакомиться на сайте компании.
Group-IB Threat Intelligence
Система компании Group-IB для исследования и атрибуции кибератак и охоты на угрозы предоставляет возможности для защиты сетевой инфраструктуры на основе данных о тактиках, инструментах и активности злоумышленников. С помощью графового анализа платформа позволяет быстро определить источник актуальной угрозы, отследить связи с киберпреступниками.
Интеграция оперативных, стратегических и тактических данных киберразведки позволяет специалистам добиться максимальной эффективности каждого из компонентов сетевой инфраструктуры на основе данных о техниках, тактиках, процедурах, инструментах и активности злоумышленников. На рисунке 5 представлен встроенный аналитический инструмент «Графовый анализ», который помогает проследить связи между злоумышленниками и их инфраструктурой.
Рисунок 5. Раздел «Графовый анализ»
Достоинства:
- Для использования системы не требуется установка дополнительного ПО на компьютерах.
- Широкий набор предоставляемых данных, при этом сведения индивидуальны, ориентированы только на заказчика.
- Отслеживание утечек.
- Возможности обнаружения недетектируемых атак с помощью уникальных индикаторов компрометации (IoC).
Недостатки:
- Отсутствие русского языка в интерфейсе (отчёты формируются на русском языке).
- Отсутствие в открытом доступе эксплуатационной документации не позволяет потенциальному заказчику сделать предварительную оценку целесообразности использования данной платформы, что приводит к необходимости проведения тестовой апробации с участием специалистов Group-IB.
Обзор платформы представлен по ссылке. Подробнее с продуктом можно ознакомиться на сайте компании.
«Гарда Монитор»
Компания «Гарда Технологии» предоставляет продукт для расследования киберинцидентов в виде аппаратно-программного комплекса, который осуществляет непрерывный мониторинг и запись всего трафика предприятия с последующей индексацией, быстрым поиском и воспроизведением событий за любой интервал времени.
Комплекс поддерживает различные варианты комплектаций, позволяющие контролировать как отдельный сегмент, так и всю сеть: совмещённый, когда все модули находятся на одном сервере, и разнесённый, где модули располагаются на разных серверах, связанных между собой информационной вычислительной сетью.
Рисунок 6. Схема интеграции «Гарда Монитора» в сеть
При этом система автоматически выявляет попытки вторжения в сеть предприятия и нарушения политик ИБ, отправляя уведомления об этом специалисту по информационной безопасности.
Достоинства:
- Сочетание нескольких классов решений (выявление аномального поведения, сигнатурный анализ).
- Неограниченный объём записи трафика и оперативный доступ к данным за любой интервал времени.
- Моментальное оповещение о нарушении политик безопасности.
- Сертификация ФСТЭК России.
Недостатки:
- Отсутствие визуализации действий атакующих по матрице MITRE ATT&CK.
Архитектура и функциональные возможности продукта были ранее рассмотрены в нашем обзоре.
Более подробную информацию можно найти на сайте компании.
«Мобильный криминалист Скаут»
«Мобильный криминалист Скаут» от компании «Оксиджен Софтвер» является обширным модулем флагманского продукта «Мобильный криминалист Детектив». Данный модуль позволяет извлекать учётные записи и токены, закладки, данные форм автозаполнения, историю посещений и куки-файлы из интернет-браузеров, учётные данные и токены из различных программ, таких как iCloud for Windows, Telegram Desktop и др., точки доступа Wi-Fi и пароли к ним, резервные копии iTunes, учётные данные и токены из портативных версий программ и нестандартных размещений.
В результате получается универсальный инструмент для извлечения и анализа информации, охватывающий широкий спектр мобильных устройств, дронов, облачных сервисов и ПК. У программы есть несколько режимов поиска данных: быстрый, оптимальный, полный.
Рисунок 7. Режимы поиска в программе «Мобильный криминалист Скаут»
Достоинства:
- Извлекает данные из портативных версий программ и нестандартных размещений.
- Расширение «МК Эксперт» позволит проанализировать сообщения, контакты и медиафайлы.
Недостатки:
- Всю информацию можно извлечь только в том случае, если владелец компьютера включил функцию автоматического сохранения вводимых паролей.
На сайте разработчика можно ближе познакомиться с этим инструментом.
Обзор зарубежного рынка решений по расследованию инцидентов
Autopsy
Autopsy — это платформа цифровой криминалистики и графический интерфейс для различных цифровых криминалистических инструментов от компании Basis Technology. Платформа с открытым исходным кодом быстра, проста в использовании и способна анализировать все типы мобильных устройств и цифровых носителей.
Autopsy создана как самодостаточная платформа с модулями, которые поставляются «из коробки» и доступны из сторонних источников. Назовём некоторые из этих модулей:
- Timeline Analysis — интерфейс графического представления активности в исследуемой системе.
- Hash Filtering — выделяет известные вредные / плохие файлы и игнорирует хорошие.
- Keyword Search — поиск по ключевым словам среди файлов с упоминанием актуальных терминов и деталей.
- Web Artifacts — извлекает историю, закладки и куки-файлы из браузеров.
- Data Carving — восстановление удалённых файлов из нераспределённого пространства на диске.
Рисунок 8. Выбор модулей в Autopsy
Программа предназначена для исследования улик по киберпреступлениям, однако обладает также большим спектром функций для восстановления и анализа данных.
Достоинства:
- Полностью бесплатна, требуется только регистрация.
- Есть возможность пройти обучение основным функциям и возможностям платформы.
К недостаткам продукта относится:
- Трудное освоение возможностей программы без предварительного обучения.
Познакомиться с продуктом можно на сайте компании.
EnCase Forensic
Ещё одно решение, заслуживающее внимания, — это разработка Guidance Software, компании из ряда ведущих разработчиков инструментария для компьютерной экспертизы. EnCase Forensic может обеспечить обработку доказательств, интегрирование рабочих процессов и гибкую отчётность для проведения различных киберкриминалистических расследований, которые позволяют экспертам находить необходимые доказательства.
Существует возможность глубокой настройки и создания собственных инструментов на базе EnCase с помощью встроенного макроязыка программирования ESCRIPT. Программные инструменты и технологии EnCase Forensic позволяют проводить исследования разного типа на любой стадии и выдавать экспертные заключения.
Рисунок 9. Анализ интернет-истории с собранного образа жёсткого диска в EnCase Forensic
Достоинства:
- Большое количество источников данных.
- Возможности расширенного анализа.
- Интуитивно понятный пользовательский интерфейс.
- Интеграция со смартфонами и планшетами.
Недостатки:
- Сохранение всех улик в одном файле.
- Для полноценного анализа необходимо дополнительно приобретать модули (например, EnCase Mobile Investigator).
Подробнее о продукте можно узнать на сайте компании.
Forensic Toolkit
Forensic Toolkit — инструмент от компании Access Data для судебных компьютерно-технических экспертиз. Продукт сканирует жёсткий диск в поисках различной информации. Например, он может находить удалённые электронные письма или обнаруживать текстовые строки для использования в качестве словаря паролей при взломе зашифрованных данных.
В состав пакета AccessData Forensic Toolkit также входят программные средства, которые при комплексном использовании предоставляют полный инструментарий для расследования киберинцидентов: встроенная база данных, программа для создания образа диска, программа для анализа реестра, библиотека хешей, ПО для восстановления паролей, сервисная программа для контроля состояния лицензий.
Рисунок 10. Организация работы с файлами в Forensic Toolkit
Для анализа используется собственная база KFF, куда импортируются хеши. В настройках можно указать, чтобы продукт не показывал файлы ОС или другие известные, что значительно облегчает работу. Также показываются дублированные, архивированные, шифрованные объекты, файлы с неверными расширениями. Всё это можно вывести в отдельном окне. Реализована работа с ZIP-архивами.
Достоинства:
- Возможность оценки содержимого без распаковки.
- Не требуются дополнительные программы для просмотра почтовых баз.
Недостатки:
- Не поддерживает работу со сжатыми дисками.
- Файлы определяются строго либо как безопасные, либо как опасные, без комментариев и дополнительной информации.
Подробнее с продуктом можно ознакомиться на сайте компании.
ProDiscover Forensics
ProDiscover Forensics — это дисковая система криминалистики, которая предоставляет набор функций для захвата и анализа дисков. ПО включает в себя утилиты для просмотра реестра, журнала событий и интернет-активности с захваченного образа.
Анализ файлов с захваченных дисков производится непосредственно внутри платформы, содержимое отображается в формате ASCII, однако есть возможность открыть файлы с помощью подходящих приложений на компьютере.
Рисунок 11. Содержимое файлов в ProDiscover Forensics
Специалисты могут использовать инструменты и функции ProDiscover для идентификации отдельных фрагментов улик и соединять их для формирования целостной картины. Кроме того, ProDiscover предоставляет возможности для анализа характера киберпреступлений и тактик злоумышленников.
Достоинства:
- Интеграция с ИИ для анализа видеоданных и картинок.
- Отчёты формируются автоматически.
- Анализ социальных сетей.
Недостатки:
- Для создания образа используется собственный формат, который больше нигде не поддерживается.
Подробная информация о продукте доступна здесь.
Volatility Framework
Volatility Foundation — это независимая некоммерческая организация, которая предоставляет опенсорс-платформу для криминалистической экспертизы, реагирования на инциденты и анализа вредоносных программ.
Volatility Framework в настоящее время является одним из самых популярных инструментов для анализа энергозависимой памяти. Этот кроссплатформенный фреймворк позволяет работать с образами памяти, анализировать их, получать из них данные о прошлых состояниях системы и многое другое.
Рисунок 12. Работа с Volatility Framework
Достоинства:
- Модульная архитектура, можно подключать необходимые для анализа плагины и писать свои.
- Поддержка большого количества ОС для анализа.
Недостатки:
- Отсутствует графический интерфейс, вся работа осуществляется через командную строку.
Подробнее о продукте можно узнать на сайте организации.
X-Ways Forensics
X-Ways Forensics — программное обеспечение для компьютерной экспертизы и восстановления данных, разработанное немецкой фирмой X-Ways Software Technology AG. Программа может запускаться на любом компьютере с Windows и не требует инсталляции.
К основным возможностям этого ПО можно отнести создание и восстановление образов носителей информации, восстановление удалённых файлов по специальным алгоритмам, удобное управление задачами и расследованиями, а также создание словаря для подбора паролей к шифрованным и заблокированным файлам.
Рисунок 13. Результаты обработки изображения в X-Ways Forensics
Интегрированный комплекс позволяет оперативно решать широкий спектр задач компьютерной экспертизы и расследования инцидентов, от съёма данных до составления отчётов.
Достоинства:
- Не требуется инсталляция, программа запускается на любом компьютере.
- Продукт поставляется с поддержкой на срок до трёх лет, в течение этого срока доступны все обновления, а по его истечении функциональность сохраняется.
Недостатки продукта:
- Отсутствие встроенного средства просмотра баз данных SQLite.
- Неочевидность выполнения некоторых действий.
Подробности о продукте можно узнать на сайте компании.
Выводы
Исследования и статистика показывают, что с каждым годом преступления в информационной сфере продолжают расти в количестве и изощрённости. Однако даже на сегодняшний день большинство компаний не оснащены достаточным количеством средств для защиты и реагирования на киберинциденты, не говоря уже о расследовании случившегося. Именно поэтому востребованность продуктов и услуг форензики также будут продолжать расти.
Расследование киберинцидентов не должно отставать в развитии от всё новых способов атаковать защищаемые системы. На сегодняшний день на зарубежном и отечественном рынках представлено достаточное количество продуктов по форензике. Эксперты смогут найти наиболее подходящее им ПО, отвечающее их предпочтениям и потребностям, или же выбрать компетентную компанию-эксперта для расследования.