Денис Гойденко, Positive Technologies: Либо вы контролируете инфраструктуру, либо это делают злоумышленники

У нас в студии интересный гость — Денис Гойденко, руководитель департамента комплексного реагирования на киберугрозы в экспертном центре безопасности Positive Technologies (PT ESC). Сегодня мы будем говорить о расследованиях, реагировании на киберугрозы и инциденты.

За прошедший год команда PT ESC выполнила порядка 100 проектов по расследованию и ретроспективному анализу инцидентов. Хотелось бы обсудить главные результаты и узнать, насколько изменился спрос на такие услуги.

Д. Г.: Сейчас мы наблюдаем значительный всплеск спроса на услуги, это связано с увеличением количества инцидентов. 

В 2023 году прирост наших проектов по расследованию и реагированию составил 176 %, а за первые три квартала 2024 года их количество выросло ещё на 24 % по сравнению с аналогичным периодом 2023 года. Объём работ у нашего департамента вырос почти втрое. Годовое исследование, которое мы в ноябре представили на SOC Forum 2024, охватывает 100 расследованных нами инцидентов за последний квартал 2023 и три квартала 2024 года.

Здесь важно определить понятие «инцидент». Для разных специалистов оно означает не одно и то же. Например, для сотрудников SOC первой линии это может быть точечный инцидент — классификация или верификация событий.

Для нас инцидент — это масштабный проект, связанный с существенным событием или угрозой. Мы подключаемся на разных этапах хакерской атаки, занимаемся как реагированием и расследованием, так и ретроспективным анализом. Последнее ближе к Compromise Assessment, то есть своего рода проверке, здорова инфраструктура или нет. 

Итак, 100 проектов, которые мы анализировали, включают все эти виды услуг.

Интересно, потому что я, честно говоря, ошибся в прогнозах несколько лет назад. В 2022 году, когда мы обсуждали тему расследований и реагирования, я считал, что это направление отойдёт на второй план. Казалось, что многим будет не до этого. Я предполагал, что компании скажут: «Зачем нам что-то расследовать? Нам нужно отбиваться, на нас нападают со всех сторон». Однако вышло иначе, и я рад, что ошибся. Из каких областей к вам приходят за такими услугами? 

Д. Г.: Области, из которых к нам приходят компании, абсолютно разные. В принципе, это — все сферы, где так или иначе используются информационные системы. 

Честно говоря, я не слишком люблю классифицировать клиентов по отраслям. Но можно заметить интересную тенденцию: выросла доля обращений ИТ-компаний, которые предоставляют услуги крупным и более защищённым организациям. Например, если в нашем прошлогоднем подобном исследовании их было около 6 % от общего количества проектов, то сейчас — уже порядка 13 %. Это отражает изменения в тактике хакеров.

Обращаются чаще в момент атаки или когда уже наступили тяжёлые последствия и нужно разобраться в причинах?

Д. Г.: Чаще всего компании обращаются к нам не потому, что они заранее планируют заказывать расследование или реагирование, а потому, что обстоятельства вынуждают. Когда случается что-то такое, что выходит за пределы их компетенций, они ищут помощи — у нас или у специалистов в других ИБ-компаниях. Сейчас инцидентов так много, что конкуренции на рынке как таковой почти нет: все завалены работой. Компании обращаются к нам из необходимости, пытаясь понять, что происходит и как предотвратить подобные ситуации в будущем.

Многие путают расследование и форензику, считая, что нужно обращаться к специалистам только в самых критических ситуациях — когда данные уже зашифрованы или уничтожены. Недавно в одном из эфиров AM Live была активная дискуссия по этой теме. Как вы видите эту ситуацию? С какими проблемами чаще всего приходят клиенты? Какие задачи они пытаются решить?

Д. Г.: Обычно компании приходят с конкретной проблемой: данные зашифрованы или уничтожена инфраструктура, обнаружен неизвестный доменный администратор, украдены деньги. Происходит что-то необычное: например, увеличился трафик или фиксируется выкачивание информации из внутренней инфраструктуры.

Иногда запросы возникают из внешних источников. Скажем, злоумышленники публикуют украденные данные, компании это видят и обращаются к нам. В других случаях наш PT Expert Security Center обнаруживает подозрительную активность, и тогда мы информируем компании, даже если это — не наши клиенты. 

Наша задача — работать на результат. Мы хотим, чтобы все были в безопасности, независимо от того, обращаются ли компании к нам или к кому-то ещё. Главное — чтобы проблемы решались.

А как бывает чаще? Клиенты приходят уже после того, как данные зашифрованы, инфраструктура разрушена, инцидент полностью реализовался, или обращаются, когда замечают аномалии и странности и ещё есть возможность успеть отреагировать вовремя?

Д. Г.: Примерно треть запросов поступает уже после шифрования или уничтожения инфраструктуры. Это вдвое больше, чем раньше, что представляет собой серьёзный сигнал. Обычно восстановление в таких ситуациях невозможно: даже при наличии бэкапов часть данных теряется, а бизнес несёт убытки.

Полное шифрование становится возможным при низком уровне информационной безопасности. Без базовых мер защиты компания рискует потерять инфраструктуру. Это как замки на дверях: даже если вас никогда не грабили, замок нужен. Минимум — антивирус, мониторинг и реакция на алерты.

Остальные запросы связаны с выявлением аномалий и атак. Здесь ключевую роль играют бдительные администраторы, своевременно реагирующие на угрозы.

Были ли случаи, когда компании приходили бы после получения какой-то информации от Threat Intelligence? Допустим, они прочитали отчёт, нашли индикаторы компрометации, проверили свои системы, обнаружили что-то подозрительное — и тогда обращаются к вам за помощью.

Д. Г.: Здесь важно понимать, как мы работаем. У нас есть большая команда — наш PT Expert Security Center, в него входит департамент Threat Intelligence, который занимается мониторингом. TI-специалисты собирают данные, анализируют их с точки зрения существующих или потенциальных киберугроз. Данные Threat Intelligence призваны ускорить процессы по оценке опасности инцидентов и расстановке приоритетов. Эти данные затем используются и для настройки детектирования в наших продуктах.

Когда детектирование срабатывает, заказчики либо смотрят сами, либо приходят к нам: «Ребята, что это за детект? Он вроде связан с каким-то свежим отчётом». И уже на этом этапе мы подключаемся к работе, смотрим на ситуацию и помогаем разобраться.

У вас это уже автоматизировано на базе ваших продуктов? 

Д. Г.: Да, всё автоматизировано. Процесс налажен таким образом, что вся актуальная информация из отчётов, открытых источников и исследований сразу интегрируется в наши продукты. Эти данные поступают в MaxPatrol SIEM, MaxPatrol EDR, песочницу и весь стек, включая PT NAD (Network Attack Detection). Когда детектирование срабатывает, появляются алерты; при необходимости мы помогаем разобраться, раскручиваем цепочки событий, чтобы понять, почему эти алерты возникли, и даём рекомендации, как действовать дальше.

По данным вашего анализа, сколько времени в инфраструктуре находятся злоумышленники до момента их обнаружения или проявления (TTD)? 

Д. Г.: По нашим данным, медианный показатель составляет около 17 дней. Именно столько времени проходит с момента начала вредоносной активности до того, как её замечают на стороне пострадавшей компании. В прошлом году этот показатель мы тоже считали, тогда медианное значение составляло 37 дней.

Получается, что это время сильно сократилось за последний год?

Д. Г.: Да, сократилось. Компании стали уделять больше внимания кибербезопасности. У нас ведь часто бывает, что пока гром не грянет, никто не начнёт действовать. А вот сейчас, кажется, гром действительно гремит, начинают быстрее реагировать, но, конечно, далеко не все. Было время, когда злоумышленники могли находиться в организации чуть ли не годами, становясь «своими ребятами». Сейчас, к счастью, такая ситуация встречается гораздо реже.

Я помню, ещё в 2020–2021 годах, когда мы впервые обсуждали тему расследования и реагирования, многие в комментариях писали, что если злоумышленники уже сидят в системе, то что тут такого? Но теперь, как я понимаю, это точно не работает. Как вести себя, если присутствие злоумышленников обнаружено, но они себя ещё не проявили деструктивным образом? Как их не спровоцировать?

Д. Г.: Если кратко, инфраструктуру нужно держать под контролем. Либо это делаете вы, либо за вас это делают хакеры. Чтобы выигрывать, важно знать, что и где у вас находится, регулярно проводить инвентаризацию активов и анализ угроз.

Злоумышленники больше не действуют поспешно. Они исследуют бизнес-процессы, расставляют бэкдоры, продают доступы или готовят более стратегические атаки: выгружают данные, анализируют инфраструктуру, а затем приступают к шифрованию. Это превращает их в опасных и терпеливых противников.

Фокусироваться следует на моделировании тех угроз, которые реально опасны для бизнес-процессов. Вместо попыток угадать точную цепочку действий злоумышленников стоит прогнозировать возможные сценарии атак и готовиться к их последствиям.

Есть ли какие-то полезные советы, как не спровоцировать злоумышленника в такой ситуации? Допустим, он понимает, что его обнаружили, ему ограничивают доступ. В этот момент он думает: «Всё, данные собрать не получится, доступ продать тоже не выйдет. Ну, хотя бы зашифрую и попробую получить выкуп».

Д. Г.: Реагировать на угрозы нужно обдуманно. Поспешные меры могут дать хакерам знать, что вы их обнаружили, провоцируя их на шифрование или запуск заранее подготовленных сценариев. Они готовы к таким «рывкам», поэтому реакция должна быть точечной.

Эффективное управление начинается с анализа инфраструктуры. Важно понять, как злоумышленники действуют, собрать данные со всех источников и создать полную картину. Для этого нужны инструменты, адаптированные под конкретную ситуацию. Например, использование наших внутренних утилит (вроде дампера) позволяет скрытно собирать данные, фокусируясь на ключевых аспектах.

Ключевая задача — контролировать важные узлы инфраструктуры и отслеживать горизонтальное перемещение хакеров. Вместо того чтобы пытаться защитить всё сразу, нужно сосредоточиться на главных процессах. Такой подход снижает риски и позволяет найти баланс между незаметностью и результативностью.

А как насчёт сбора дополнительной информации о целях и о том, как злоумышленники действуют в инфраструктуре? Не помогут ли старые добрые ловушки или более современные технологии Deception, когда часть инфраструктуры специально подготавливается для таких целей? 

Д. Г.: Ловушки, такие как ханипоты, — эффективное решение, но они требуют предварительной подготовки. Реагирование на атаку с их помощью не особенно результативно. Нужно заранее смоделировать ловушку, например создать копию базы данных, настроить алерты, SIEM и EDR, чтобы отслеживать активность.

Когда злоумышленник попадёт в ловушку, важно дать ему развернуться: загрузить утилиты и инструменты. Это позволяет изучить его действия и обеспечить детектирование. Однако такой подход возможен только при заблаговременной подготовке.

Скоро праздники. Есть мнение, что это — время наибольшего риска. Так ли это? Когда атакующие проявляют себя чаще всего?

Д. Г.: Думаю, в будущем таких атак станет меньше, потому что во время выходных дней выявить хакера гораздо проще. Это связано с тем, что он «выпрыгивает» и сразу становится заметным, так как в этот момент наблюдается меньше нормальной активности.

Но сейчас — да, действительно, большинство атак происходят в выходные, потому что заказчики часто не уделяют достаточного внимания мониторингу. Если компания следит за своей инфраструктурой, понимает, как работают её бизнес-процессы, и знает, кто из администраторов куда ходит, то это несложно проконтролировать и быстро выявить, особенно в выходные. Если кто-то не хочет заниматься постоянным мониторингом, можно просто делать регулярные бэкапы и быть спокойным. Если вы создали бэкапы и положили их в надёжное место, например в сейф, начиная с пятницы, то это — тоже вполне рабочий вариант. Главное — чтобы бэкапы были и чтобы у злоумышленников не было доступа к ним.

Сколько времени у вас уходило на первичный анализ, выработку плана реагирования и локализацию инцидента?

Д. Г.: У нас был показательный случай, когда зафиксировали вредоносную активность, но злоумышленникам на тот момент ещё не удалось сделать ничего действительно серьёзного, например уничтожить инфраструктуру. Мы подключились в субботу и за 12 часов вышли на точку входа хакеров. Инфраструктура была довольно крупной, около 50 тысяч компьютеров. Мы оперативно собрали информацию об инструментах, используемых хакерами, и изучили их действия. Написали несколько «сырых» детектов и, используя наш инструментарий, спланировали дальнейшие шаги. За следующие два дня мы охватили все остальные узлы, включая пользовательские и серверные сегменты.

 

 

Это действительно было быстро.

Д. Г.: Да, это пример того, как хотелось бы работать всегда. Тут стоит отметить и работу ИТ-департамента атакованной компании, который смог оперативно развернуть наши утилиты по всей инфраструктуре. Это — тоже не такой уж простой процесс. Компания хорошо контролировала свою инфраструктуру, и мы всегда полагаемся на те возможности, которые предоставляет пострадавшая сторона.

Иногда случаются моменты, когда клиент почему-то начинает препятствовать расследованию — например, когда у заказчика украли данные и опубликовали их. И тогда начинается очень долгое согласование NDA (соглашения о неразглашении). Это всегда вызывает вопросы, ведь уже всё украли и половина данных уже доступна в интернете. Начинаешь думать: где же логика?

Ловлю себя на мысли, что мы стали реже говорить о целевых атаках и APT-группировках. Это как будто стало обыденностью. Но так ли это на практике? За какой частью атак действительно стоят профессиональные киберпреступники?

Д. Г.: У меня, наверное, немного альтернативный взгляд на этот вопрос. Я не очень люблю деление на группировки, вроде «волков», «собак» и так далее. Мне это видится иначе: в жизни есть профессионалы, занимающиеся своим делом, и мы знаем, что хороших специалистов мало. Мы постоянно говорим, что нам не хватает квалифицированных специалистов в области безопасности. Это всегда единичные случаи, десятки человек — настоящие эксперты. Я уверен, что на стороне атакующих ситуация похожая. Там тоже мало настоящих профессионалов. Исходя из этого, вполне логично предположить, что те же специалисты участвуют в разных вредоносных кампаниях. То есть, по сути, это не столько отдельные группировки, сколько некое хакерское комьюнити, которое собирает нужные группы людей под конкретные задачи.

«Criminals to criminals» (C2C) — это раньше так называлось.

Д. Г.: Это не классический рынок, а именно комьюнити, где специалисты объединяются под задачи. Например, одни создают вредоносы, другие пишут бэкдоры или шифровальщики. Когда появляется задача, они работают вместе. Пересечения между группировками — результат использования одних и тех же ресурсов или специалистов. Для расследователей важно отслеживать связи между утилитами, серверами и индикаторами компрометации.

Здесь помогает Threat Intelligence (TI). Анализируя уникальные вредоносы из APT-атак, TI-аналитики находят связанные хеши, серверы и другие индикаторы. Эти данные используются для поиска угроз, форензики и защиты систем.

Каковы, по вашей статистике, финальные цели атакующих? 

Д. Г.: Мы не можем знать наверняка, какова конечная цель и добились ли они её. Мы видим только итоговые результаты. А по результатам можно сказать, что цели становятся более сложными и многозадачными. В рамках одной атаки злоумышленники теперь стараются достичь сразу нескольких целей. Например, сначала эксфильтрация данных, а потом — шифрование.

Шифруют, требуют выкуп, а затем ещё и продают данные в даркнете, получая дополнительный «профит». Такой тройной заработок. В целом, атаки стали куда более продуманными и комплексными.

Как в действительности злоумышленники проникают в инфраструктуру жертвы? Существуют разные спекуляции, особенно от тех или иных производителей средств защиты. Все пытаются сформировать информационное поле «под себя». Что чаще становится причиной успеха атаки: эксплуатация непропатченного ПО, человеческий фактор, например открытие фишинговых писем, или всё-таки комбинированный подход, где используются оба этих элемента?

Д. Г.: Пока есть человек, история с пользователями и человеческим фактором никогда не исчезнет. Однако сейчас этот сценарий немного отошёл на второй план, потому что большое количество взломов, которые мы наблюдаем по нашим инцидентам, связано именно с непропатченным софтом. Это — те уязвимости, которые буквально «торчат наружу».

Exchange долго оставался в топе уязвимостей из-за ProxyLogon и ProxyShell. Многие компании игнорируют патчи, что делает их лёгкой целью. Сейчас лидером стал Bitrix вследствие своей популярности. Хакеры изучают его уязвимости ради массового доступа, поэтому обновления для такого софта критически важны.

Регулярный патчинг помогает избежать множества проблем.

Насколько часто в вашей практике встречается проникновение через подрядчиков? Ведь даже если у организации всё идеально — инфраструктура пропатчена, процессы выстроены, персонал обучен, — у подрядчика может быть совсем другая ситуация. И вот через их слабости, будь то скомпрометированный сотрудник или вредоносное обновление, злоумышленники могут получить доступ. Это действительно становится заметным трендом?

Д. Г.: Это происходит гораздо чаще, чем раньше. Мы предсказали этот тренд ещё несколько лет назад: атаки через подрядчиков становятся всё более распространёнными. Здесь играет роль человеческая логика. Когда хакеры атакуют крупные компании, те начинают укреплять свою защиту, усиливать безопасность, обращаться к вендорам и внедрять эшелонированные системы борьбы с угрозами. Тогда хакерам проще найти слабые звенья — подрядчиков, у которых есть прямой доступ в систему, например через VPN или учётные данные.

Маленькие подрядчики, в свою очередь, не всегда думают, что могут стать целью. Но если у них есть доступ к крупным клиентам, это привлекает внимание хакеров. Многие подрядчики, особенно в ИТ, уверены, что всё под контролем, что их система защищена, что администратор знает, что делает. Но на практике хакеры часто используют эту самоуверенность. Администратор может иметь полный доступ ко всем системам — полномочия суперпользователя, права доменного администратора — и думать, что всё под его контролем. Это и становится уязвимостью.

В случае атак через подрядчиков и уязвимости, которые не были своевременно устранены, компании часто не обращаются за помощью в расследовании. Мы как специалисты не всегда видим полную картину атаки, поскольку другие организации могут решать проблемы самостоятельно. Однако стоит помнить, что, несмотря на это, часто встречаются простые методы атак, такие как фишинг, которые остаются актуальными и по сей день.

Давайте немного углубимся в технические аспекты. Какие техники и приёмы чаще всего используют злоумышленники для закрепления и для обхода систем защиты? Это, мне кажется, особенно интересно, поскольку часто организации тратят миллионы на средства защиты, но те могут оказаться неэффективными. И таких случаев на самом деле много.

Д. Г.: Хакеры адаптируются, уходя от детектируемых инструментов. Старые утилиты хорошо отслеживаются, поэтому злоумышленники переходят на редко используемые или открытые инструменты с маскировкой под обычные действия.

Новые методы делятся на два направления: эксплуатация пользовательского пространства для скрытности и более сложные техники на уровне пространства ядра, например написание драйверов для отключения антивирусов.

Оба подхода усложняют обнаружение: пользовательское пространство снижает заметность, а пространство ядра требует высокой квалификации. Эти изменения задают новые вызовы для систем безопасности, требуя анализа аномалий и углублённого мониторинга.

Вернёмся к данным ваших исследований: из 100 инцидентов, которые вы расследовали за год, сколько, по вашему мнению, реально можно было бы предотвратить? Где была банальная ошибка, а где с высокой долей вероятности не было бы шансов избежать взлома, учитывая уровень квалификации атакующих?

Д. Г.: При правильном подходе, я уверен, 100 % из того, что происходило, можно было бы предотвратить. Нужно было просто подумать о том, что такое может произойти, и всё.

Если человек об этом думает, он начинает моделировать: «А что если? Что если меня сейчас все зашифруют? Есть ли у меня бэкапы? Как я с этим справлюсь?». И когда такие вопросы возникают, начинают строиться логические цепочки: «Так, мы должны мониторить. Нужно установить сенсоры или просто развернуть антивирусы и посмотреть, что срабатывает». И дальше — логический вопрос: «Почему это срабатывает?». Начинают проводиться свои мини-расследования. Мне кажется, в конце концов многие к этому и придут.

Мне кажется, здесь правильно акцентировать, что покупка СЗИ не поможет. Основное внимание должно быть уделено анализу рисков и пониманию того, как злоумышленники могут действовать. Необходимо ставить себя на место атакующих, чтобы предвидеть их шаги, и выстраивать соответствующие процессы защиты. 

Д. Г.: Злоумышленники — это такие же ИТ-специалисты, но действующие в нелегальном поле. По сути, они становятся нелегитимными администраторами ваших систем. Поэтому важно переключиться на их точку зрения, задуматься о том, как технически можно причинить вред, и смоделировать, например, что можно удалить, используя учётную запись администратора домена, или как можно обнулить либо уничтожить базу данных.

Чем больше вы фантазируете над потенциальными угрозами, тем яснее становится то, как предотвратить такие сценарии. Моделирование возможных атак — это ключевой шаг к созданию эффективной системы защиты.

Какие основные ошибки допускают заказчики в процессе реагирования и расследования инцидентов? Часто ли встречаются случаи, когда из-за желания быстро локализовать проблему или излишней самоуверенности компании усугубляют ситуацию, пытаясь решить всё самостоятельно вместо обращения к специалистам? Как такие подходы влияют на итоговые результаты расследования?

Д. Г.: Да, такое случалось. Например, некоторые компании обращаются за предварительным анализом, чтобы подтвердить факт инцидента. Мы предоставляем им данные, и они узнают, что, скажем, был взлом Exchange. После этого они самостоятельно переустанавливают систему, накатывают её заново и запускают. Через неделю возвращаются с жалобами: проблема повторилась. Оказывается, хакеры, используя Exchange, закрепились на других узлах и продолжили контролировать инфраструктуру. Простая переустановка сервиса, без выявления всей цепочки атаки, не дала результатов.

Пока вся цепочка атаки с взаимосвязанными событиями не будет полностью исследована, пока вся инфраструктура не будет просканирована на наличие остаточных следов, таких как бэкдоры, вредоносные скрипты или изменения в заданиях, решить проблему не удастся. Например, мы видели, как злоумышленники модифицируют легитимные задания, распространяемые через доменные политики: добавляют скрипты, а затем удаляют их, чтобы замести следы.

Хакеры становятся умнее, действуют стратегически и имеют преимущество: они делают первый ход. Они анализируют логи, изучают, кто администрирует серверы, и атакуют машины этих администраторов. Изучив бизнес-процессы, они сами превращаются в нелегитимных внутренних администраторов. Такие злоумышленники используют учётные данные и привычки сотрудников. Допустим, администратор часто работает с открытыми вкладками и сохранёнными паролями. Хакер, получив доступ к машине, использует эти привилегии для дальнейших действий.

Чтобы противостоять таким угрозам, необходимо убирать излишнюю самоуверенность, глубоко анализировать данные об инциденте и прорабатывать каждый этап атаки. Хакеров нельзя недооценивать: они обладают ресурсами, временем и умением адаптироваться.

В какой доле случаев вам удалось полностью восстановить цепочку событий? Злоумышленники могут удалить ценные данные, или их может затереть сам заказчик по неосторожности.

Д. Г.: Полнота восстановленного таймлайна атаки всегда условна, но в нашей практике удаётся достичь 90–95 % точности в воссоздании цепочки событий: где находились злоумышленники, какие действия они совершали и в какой последовательности. Мы дважды смогли подтвердить наши отчёты с помощью внешних данных.

Один из таких случаев произошёл, когда злоумышленники опубликовали подробное описание своих действий. Сравнив их с нашим отчётом, мы убедились, что практически всё было отражено правильно. Это был своеобразный тест нашей методологии, и он подтвердил, что ключевые элементы были выявлены.

В другом случае при анализе большой инфраструктуры мы наткнулись на сервер, где велась видеозапись RDP-сессий. Это стало неожиданным и ценным источником информации. Просмотр этих записей позволил собрать дополнительные индикаторы и уточнить отдельные вопросы, которые оставались открытыми. Наши выводы подтвердились: последовательность атаки, собранная из других источников, совпала с записями на 90–95 %. 

Интересно, а что помогает вам восстанавливать эти цепочки событий? Ваша внутренняя экспертиза и квалификация либо же какие-то специальные средства? Или и то и другое? 

Д. Г.: Это всегда симбиоз опыта, квалифицированных специалистов и инструментов. Опыт позволяет создавать специализированные инструменты, которые, в свою очередь, помогают собирать больше данных. Этот процесс формирует замкнутый круг, где каждое звено усиливает другое.

Наша ключевая задача — собрать максимальное количество данных. Иногда эти данные уже есть у компании: журналы событий из SIEM-систем, информация с NGFW и других средств защиты. Такие данные могут оказаться достаточными для анализа, чтобы выявить ключевые моменты и точки компрометации. В таких случаях полноценная форензика не требуется.

Форензика применяется тогда, когда данных недостаточно и необходимы артефакты, позволяющие восстановить полную картину произошедшего. Мы адаптировали этот процесс под масштабные инфраструктуры (энтерпрайз-форензика). Например, мы разработали собственные утилиты, которые позволяют собирать данные на разных операционных системах, включая старые версии Windows (XP и другие) и широкий спектр Linux-дистрибутивов, а также macOS. Эти инструменты специально оптимизированы для наших нужд, так как стандартные решения зачастую медлительны или не охватывают весь необходимый спектр данных.

В результате наш подход позволяет оперативно собирать информацию с различных узлов инфраструктуры, проводить оценку компрометации (Compromise Assessment) и анализировать исторические события. Это особенно важно, если нет явных вводных данных или видимых инцидентов, но требуется понять, были ли признаки атаки в прошлом. Мы начинаем с уже структурированных данных из SIEM, антивирусов и других систем, а затем поднимаем дополнительные слои информации, чтобы получить полную картину и убедиться, что ничего не упущено.

Бывали ли случаи, когда исследование цепочки атак или восстановление данных сталкивалось с непреодолимыми барьерами? Допустим, в облачной инфраструктуре заказчика не велось необходимое логирование, или же проблема заключалась в мобильных устройствах, где сбор данных был ограничен или невозможен по ряду причин. Могли бы вы поделиться такими примерами?

Д. Г.: В нашей практике не было случаев, чтобы полностью отсутствовала информация. Бывали, конечно, заказчики, чьи системы были полностью зашифрованы, и в таких ситуациях мы прямо говорим: «Здесь нечего делать, информации нет». Однако, если остаются незащищённые узлы, где работали какие-то программы, почти всегда можно найти полезные данные. 

Что касается мобильных устройств, то мы недавно начали развивать это направление. Хотя это для нас — новшество, мы пришли к выводу, что при правильном подходе, наличии нужного инструмента для каждого типа устройства, а также опыта можно получить необходимую информацию, будь то программное или аппаратное обеспечение. Всё возможно.

В недавнем эфире AM Live мы установили, что значительная часть аудитории всё ещё не стремится проводить расследование инцидентов, а просто устраняет их последствия. На ваш взгляд, чем такой подход опасен и чем он может навредить организации?

Д. Г.: Бизнес-процесс будет уничтожен, если не докопаться до сути. Не в 100 % случаев, но риск очень велик. Например, в 2022 году был значительный всплеск инцидентов, и у нас не было выходных в течение четырёх-пяти месяцев. Что мы увидели по результатам анализа этих инцидентов? Оказалось, что атакующие заранее подготовили плацдарм. Хакеры могли просто зайти и ждать, ничего не предпринимая, или продать доступ, или передать его тем, кто захочет вымогать деньги. Возможностей много, и их можно долго обсуждать.

Если в вашей инфраструктуре есть бэкдор и вас не беспокоит, как он туда попал или кто его установил, — это ваш выбор. Но меня бы это волновало. Если бы я зашёл домой и увидел грязные следы на полу, меня бы заинтересовало, откуда они взялись. То же самое — с инфраструктурой: если были следы взлома, алерты сработали, а вы просто переустановили систему, то это всё равно что вытереть следы на полу и думать, будто всё в порядке. Логика подсказывает: важно понять, что случилось на самом деле.

Мы записываем это интервью перед Новым годом; есть уникальная возможность пожелать что-то аудитории или обратить её внимание на что-то, посоветовать. 

Д. Г.: Желаю как можно реже обращаться к ребятам, которые расследуют инциденты и реагируют на них. Чтобы было меньше инцидентов, меньше хакерских атак, больше спокойствия, любви, больше добра. И чаще обновляйтесь!

Действительно, пусть 2025 год будет без инцидентов и лишней работы по выяснению причин и источников атак. Спасибо, Денис! Всего вам самого безопасного. С наступающим!