11 декабря в эфире AM Live говорили о расследовании инцидентов. Спикеры обсудили, когда заказчику пора вызывать бригаду специалистов по киберкриминалистике, что делать, если случилось непоправимое, какие инструменты использовать и как строится команда расследования.
- Введение
- Чем расследование отличается от форензики?
- Когда заказчику вызывать специалистов?
- Как оценить критическую значимость инцидента?
- Что выбрать: внутренние ресурсы или аутсорсинг?
- Какие шаги заказчика помогут снизить ущерб от инцидента?
- Какие работы ведутся в инфраструктуре во время расследования?
- Особенности услуги расследования
- Прогнозы экспертов
- Выводы
Введение
Информация становится одним из самых ценных ресурсов, защита данных и информационных систем приобретает первостепенное значение. Инциденты в области ИБ могут иметь серьёзные последствия, включая финансовые потери, утрату репутации и юридические проблемы. Поэтому расследование инцидентов становится неотъемлемой частью стратегии управления рисками и обеспечения безопасности.
Рисунок 1. Спикеры эфира AM Live
В дискуссии приняли участие:
- Семён Рогачёв, руководитель отдела реагирования на инциденты, компания «Бастион».
- Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского».
- Никита Леокумович, начальник управления цифровой криминалистики и киберразведки, Angara Security.
- Антон Величко, руководитель лаборатории цифровой криминалистики и исследования вредоносного кода, компания F.A.C.C.T.
- Николай Гончаров, директор департамента мониторинга кибербезопасности, Security Vision.
- Денис Гойденко, руководитель департамента комплексного реагирования на киберугрозы PT ESC, Positive Technologies.
- Фёдор Скворцов, руководитель отдела реагирования на киберугрозы, BI.ZONE.
Модератор и ведущий эфира — Александр Осипов, директор по продуктовому портфелю Red Security.
Чем расследование отличается от форензики?
Никита Леокумович объяснил, что криминалистика — прикладная юридическая наука, которая изучает следы преступления, способы его совершения. В свою очередь, та сфера, которую обычно называют форензикой, больше связана с компьютерной криминалистикой с точки зрения судебно-экспертной деятельности. Она регулируется законом № 73-ФЗ и процессуальными кодексами, где расписаны обязанности и права экспертов.
Отличие — в том, что эксперт не может сам добывать себе доказательства, он работает только с тем, что ему предоставили, по определённой методике. Суть экспертизы можно описать так: на одни и те же вопросы двое разных экспертов даже при использовании разных методик обязательно получат одинаковый ответ, с которым и будут выступать в суде.
Реагирование определяется ГОСТами. В него входит расследование, но официально это называется «установление причин инцидента и его последствий», если нужно указывать информацию в документах для правоохранительных или государственных органов. Внутри компании можно называть этот процесс расследованием.
Никита Леокумович, Angara Security
Денис Гойденко считает, что трудно разделять расследование и реагирование. В любой процесс реагирования входит мини-расследование. Когда инцидент происходит в большой компании, важно быстро понять, что произошло. Заниматься проведением границ здесь с практической точки зрения бессмысленно.
Семён Рогачёв:
«Для меня есть чёткое разделение понятий. Часто клиент обращается уже после ущерба, когда произошло шифрование или удаление данных. На этом этапе требуется расследование: восстановление полной картины действий атакующих, возвращение к точке входа, понимание ошибок, которые к этому привели. Реагирование — это действия до ущерба, которые препятствуют достижению атакующим его цели».
Антон Величко уверен, что расследование и реагирование — два неразделимых процесса. Если сработала антивирусная система, недостаточно удалить вредоносный файл. Нужно выяснять, откуда он взялся. Даже после нанесения ущерба злоумышленник часто сохраняет доступ к периметру. Чтобы локализовать инцидент, на него нужно продолжать реагировать: идти по криминалистически важным артефактам, выявлять точки закрепления, давать рекомендации. Расследование как более углублённое исследование начинается, когда инцидент завершился — злоумышленник утратил доступ к периметру.
Антон Величко, F.A.C.C.T.
Николай Гончаров:
«Мы реагируем по факту возникновения инцидента, это незамедлительная реакция. Надо понимать, что у нас мало времени, чтобы локализовать и устранить последствия. Расследование же может занимать длительный интервал времени, в котором можно заниматься форензикой и криминалистикой, искать злоумышленника, готовить документы. Реагирование перетекает в расследование, одного без другого не бывает».
Возможен ли проактивный подход к расследованию? Константин Сапронов считает, что не просто возможен: именно таким он и должен быть, хотя подобное редко встречается на практике. Подготовка команды, аппаратных и программных средств — всё относится к проактивной подготовке. Это этап цикла реагирования.
Константин Сапронов, «Лаборатория Касперского»
Когда заказчику вызывать специалистов?
В какой момент нужно прибегать ко внешней помощи? Антон Величко считает, что если в компании есть СЗИ и команда, стоит обращаться к экспертам для подстраховки. Тогда персонал сможет применить полученные извне рекомендации, чтобы локализовать инцидент и выявить причины его наступления. Как правило, криминалистов в компаниях не так много.
Семён Рогачёв:
«Если у компании нет СЗИ, нужно обращаться как можно раньше. Не обладая телеметрией, потеряв момент срабатывания антивирусного средства, компания нуждается в срочной помощи экспертов. Если атакующий в неподготовленной инфраструктуре использует учётную запись администратора, то дальше заметить его становится сложно».
Участники эфира устроили игру «Верю — не верю»: каждый участник рассказывал интересную историю из практики работы в информационной безопасности, а зрители должны были угадать, правда это или выдумка. Голосование показало, что истории вышли правдоподобными.
Рисунок 2. Истории расследования инцидентов: верим или нет?
Как оценить критическую значимость инцидента?
Фёдор Скворцов:
«У нас есть первоначальные данные, от которых можно отталкиваться. На основе вводных данных и своего опыта начинаем раскручивать цепочку с точки зрения примерного профиля атакующего и рисков. Мы узнаём как можно больше информации об инфраструктуре компании и пытаемся посмотреть глазами атакующего: куда бы мы пошли в первую очередь, какие есть критические точки, на которые можно осуществить воздействие».
Фёдор Скворцов, BI.ZONE
Никита Леокумович уверен, что компании нужно понимать критическую значимость своих активов не только с точки зрения бизнеса, но и в сфере информационной безопасности.
Николай Гончаров считает, что для клиента главное — восстановить бизнес. Нужно ему объяснить, что нельзя восстанавливать инфраструктуру, пока не станет известно, куда добрался злоумышленник. Если это не сделано, есть высокий риск повторного инцидента. Сначала нужно провести реагирование, устранить последствия, принять меры по восстановлению и довести расследование до конца.
Константин Сапронов:
«Иногда клиента трудно убедить, что необходимо провести реагирование, когда уже нанесён тотальный ущерб».
Семён Рогачёв уверен, что с бизнесом нужно уметь разговаривать. Если конкретика и специфика делают расследование сложным, помогает накопленный опыт.
Первый опрос в прямом эфире показал, что 51 % зрителей имеют в своей компании формализованные процедуры расследования инцидентов, которые постоянно обновляются. У 32 % респондентов такие процедуры находятся на этапе разработки, а у 12 % ответивших они есть, но устарели.
Рисунок 3. Есть ли в вашей компании формализованные процедуры или политика расследования инцидентов?
Что выбрать: внутренние ресурсы или аутсорсинг?
Семён Рогачёв считает, что многое зависит от компании и от уровня её зрелости. Внутренними силами можно обходиться, если есть качественная система безопасности, но исключительно на неё полагаться не стоит. Если у компании нет мониторинга, проще выделить часть ресурсов ИТ с дежурными линиями, которая будет рабочими руками аутсорсинговой ИБ, а всё остальное отдать гибридному SOC, группе реагирования и т. д.
Николай Гончаров:
«Что касается внешней команды, в неё должны входить реверс-инженеры, специалисты по форензике, узкоспециализированные специалисты, которые разбираются в операционных системах, сетевые специалисты. Также нужен координатор, который общается с клиентом и командой. Часто эту роль выполняет сервис-менеджер. Эти специалисты дополняют SOC. В любом случае должна быть круглосуточная смена, специалисты, которые проведут первый этап реагирования, психологически помогут клиенту справиться с ситуацией. Потом подключаются коллеги, которые займутся более глубоким анализом. При выборе нужно смотреть, какой опыт уже был у команды, с какими кейсами она справлялась, из каких отраслей её клиенты, насколько она подходит для вашей сферы деятельности».
Николай Гончаров, Security Vision
Антон Величко считает, что если не было должного аудита событий, то нужно заниматься триажем и исследовать «сырые» данные. Таким образом тоже можно качественно реконструировать цепочку событий; главное — чтобы команда имела необходимые компетенции.
Денис Гойденко:
«Мы ни разу не сталкивались с тем, чтобы совсем не было вводных данных. Первое, что нужно сделать, — поговорить с техническими специалистами».
Ведущий продемонстрировал результаты второго опроса на тему «Как вы оцениваете готовность вашей компании к расследованию инцидентов?». Считают, что готовы к самостоятельному расследованию, 42 % ответивших, хотят это выяснить после инцидента 22 %, а 21 % зрителей знают, каких экспертов привлечь.
Рисунок 4. Как вы оцениваете готовность вашей компании к расследованию инцидентов?
Какие шаги заказчика помогут снизить ущерб от инцидента?
Константин Сапронов объяснил, что есть три основных вектора: патч-менеджмент, правильная парольная политика, обучение сотрудников кибергигиене. Если всё это реализовано, то клиент окажется за пределами когорты 90 % атакуемых компаний.
Денис Гойденко уверен, что снизить ущерб поможет знание своей инфраструктуры: важно, как хорошо она контролируется, на каком этапе обнаружится инцидент. Хакеры постоянно меняют техники, совершенствуются, поэтому вести мониторинг всё труднее. Нужен качественный контроль бизнес-процессов, чтобы понимать, всё ли идёт как надо.
Денис Гойденко, PT ESC, Positive Technologies
Главные ошибки при организации расследований инцидентов
Эксперты рассказали о том, что вредно при обнаружении инцидента.
Николай Гончаров:
«Паниковать, не следовать чёткому плану действий, пытаться решить проблему самостоятельно, не имея опыта, работать без внутренних регламентов распределения обязанностей и полномочий при наступлении инцидента, не знать свою инфраструктуру».
Фёдор Скворцов:
«Нужно понимать, что есть инциденты, с которыми компания самостоятельно не справится. Нужно вовремя обратиться в экспертную организацию, которая сможет расследовать до конца и повысить уровень безопасности».
Денис Гойденко:
«Не нужно быть самонадеянным и думать, что всё знаешь».
Никита Леокумович:
«Важно не бояться признавать свои ошибки. Абсолютная честность и открытость между сторонами приводят к ускорению работы».
Антон Величко:
«Главная ошибка — когда перезаливают систему. Сначала нужно собрать слепок информации, чтобы было с чем работать».
Константин Сапронов:
«Использование скомпрометированных каналов связи».
Семён Рогачёв:
«Недоверие к экспертам, нежелание делиться информацией».
В эфире AM Live также показали видеокомментарии на тему расследований инцидентов от заказчиков.
Дмитрий Костров из iEK ответил на вопрос о том, чего не нужно делать при возникновении инцидентов:
«Сначала необходимо разобраться, событие это или инцидент, а не обращаться сразу в ИТ с просьбой исправить. Информация может быть непроверенной или неточной».
Дмитрий Костров, iEK
Олег Волков из банка «Кубань Кредит» дал свои рекомендации:
«Не нужно искать виновных. Это не поможет решить проблему, а только займёт время. Прежде всего необходимо локализовать проблему, не дать ей развиться. Некоторые эксперты предлагают подождать и посмотреть, какими возможностями обладает нарушитель. Крайне не рекомендую это делать, так как последствия могут быть неконтролируемыми, это грозит большими потерями. Когда проблема локализована, нужно изучать последствия. В случае необходимости можно найти виновных, но только на последней стадии».
Олег Волков, банк «Кубань Кредит»
Какие работы ведутся в инфраструктуре во время расследования?
Семён Рогачёв считает, что многое зависит от того, в какой момент заказчик обратился к экспертам. Если негативного воздействия на инфраструктуру ещё не было, то нужно организовать SOC, чтобы иметь возможность в настоящем времени отслеживать возникновение индикаторов компрометации и снизить вероятность достижения атакующим его цели. Если ущерб уже нанесён, потребуется взаимодействовать с администраторами, чтобы получить информацию. Далее используется набор базовых криминалистических артефактов, которые нужно оперативно извлекать. В зависимости от вводных данных подход может меняться.
Семён Рогачёв, «Бастион»
Денис Гойденко:
«Нужно сразу узнать, какие инструменты есть у нарушителя, это зависит от инфраструктуры».
Никита Леокумович уверен, что всё зависит от технологического стека и от стадии развития инцидента.
«Если есть подозрение на нарушение безопасности, мы используем EDR-агенты, SIEM, ставим со своего сервера. Когда речь идёт о свершившемся инциденте, процесс начинается с триажа. Если заказчик хочет обращаться в суд, нужно сначала снять посекторную копию. Хорошо, если у заказчика настроен внутри хоть какой-то мониторинг».
На вопрос об основных трудностях, которые возникают при расследовании инцидентов, 47 % зрителей ответили, что главная проблема — недостаток квалифицированного персонала. Отсутствие необходимых технологий выбрали 17 %, отсутствие документированных процедур — 16 %.
Рисунок 5. Какая, по вашему мнению, основная трудность возникает при расследовании инцидентов?
Фёдор Скворцов рассказал, что значительно улучшить расследование могут три базовых процесса: нормальный аудит Windows, мониторинг периметровых сетевых устройств, логирование адресов пользователей при подключении внутри сети. Николай Гончаров добавил, что главное — организовать процесс сбора логов, чтобы было с чем дальше работать; затем выстраиваются процессы хранения и анализа журналов. Антон Величко также считает важным создание команды специалистов, которые будут заниматься инцидентом после обнаружения. Кроме того, должны быть инструменты реагирования, инструкции, продуманные планы восстановления.
Ведущий Александр Осипов поинтересовался, используются ли средства автоматизации реагирования. Николай Гончаров объяснил, что такие средства имеются и ими нужно пользоваться. Развитие технологий шагнуло далеко вперёд, и эти инструменты могут сильно упростить жизнь.
Александр Осипов, Red Security
Особенности услуги расследования
По словам Константина Сапронова, в «Лаборатории Касперского» стоимость услуги соответствует объёму потраченных ресурсов.
Антон Величко считает, что для определения стоимости услуги необходима предварительная оценка. Для этого клиент должен дать определённую исходную информацию, по которой можно понять, какие тактики использовали злоумышленники, какой ущерб нанесён и сколько времени придётся потратить на расследование.
Семён Рогачёв заметил, что временные затраты на расследование инцидента на 50 % зависят от клиента — смотря с какой скоростью работает ИТ-служба компании.
Последний опрос по итогам эфира показал, что большинство зрителей (56 %) заинтересовались процессом расследования инцидентов. 24 % голосовавших собираются прибегать к нему чаще.
Рисунок 6. Каково ваше мнение о расследовании инцидентов после эфира?
Прогнозы экспертов
Николай Гончаров:
«Дальнейшее развитие и применение ИИ — не замена специалиста, а помощь для снятия с него рутинных задач. Эти механизмы будут всё чаще внедряться в уже имеющиеся средства автоматизации и позволять сэкономить время на более экспертную часть работы. Будет развиваться тренд на проведение киберучений, кибериспытаний, повышение киберграмотности и появление курсов для обучения принципам ИБ в компаниях».
Фёдор Скворцов:
«Уровень кибербезопасности будет расти благодаря количеству инцидентов. Повысится уровень автоматизации в отслеживании и анализе данных».
Денис Гойденко:
«Хакеры умнеют, мы больше защищаемся. Есть подвижки в плане защищённости компаний в целом по стране».
Никита Леокумович:
«Нужно отводить больше времени на то, чтобы искать утечки, избегать их, повышать киберграмотность. Больше будет государственного участия в ИБ. Есть заинтересованность участников рынка в обучении студентов».
Антон Величко:
«Подход к реагированию будет меняться, он будет проактивным, чтобы инциденты не завершались по негативному сценарию. Будет больше обучения, запросов от бизнеса по получению профильной информации по ИБ. Атакующие тоже будут развиваться, прибегать к новым инструментам, изобретать новые подходы к проведению атак. Есть тенденция к атакам на физических лиц».
Константин Сапронов:
«Атаки будут более изощрёнными, с использованием ИИ. Будут больше атаковать через гаджеты».
Семён Рогачёв:
«Есть тенденция к открытости компаний в сфере ИБ: годовые отчёты, телеграм-каналы. Это будет иметь положительный эффект, так как часть компаний станет серьёзнее относиться к своей информационной безопасности».
Выводы
Расследование инцидентов в ИБ — это не только реакция на происшествия, но и важный элемент стратегического управления рисками в организациях. Эффективное расследование позволяет минимизировать последствия инцидентов и выявить уязвимости, которые могут быть использованы злоумышленниками в дальнейшем.
Создание культуры безопасности внутри организации, где каждый сотрудник понимает свою роль в защите информации, способствует более быстрому выявлению инцидентов и повышению общей устойчивости к угрозам. Понимание этапов расследования, применение современных методов и инструментов — ключевые факторы успешного реагирования на инциденты. Важно помнить, что информационная безопасность — это не разовая задача, а постоянный процесс, требующий внимания и ресурсов.
Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
