Цифровая криминалистика и реагирование на инциденты (digital forensics and incident response, DFIR) — специализированная область ИБ, охватывающая выявление, устранение и расследование инцидентов в кибербезопасности (incident response, IR), в том числе с применением криминалистических практик (digital forensics, DF).
- Введение
- Как приходят в киберкриминалистику?
- Какие задачи стоят перед киберкриминалистами
- Сколько времени занимает расследование?
- Киберкриминалист учится всегда
- Выводы
Введение
Отправной точкой для работы киберкриминалистов становится инцидент, но иногда достаточно выявить следы вторжения в ИТ-инфраструктуру компании, чтобы предотвратить атаку. Зачастую хакеры внедряются поэтапно и могут долгое время не предпринимать никаких действий, чтобы потом в один не самый прекрасный момент развернуть атаку на ключевой цифровой актив. Поэтому наиболее эффективно, когда киберкриминалисты работают в тесной связке с командой мониторинга угроз, чтобы ещё на ранних подступах блокировать попытки взлома.
Как приходят в киберкриминалистику?
Эта профессия требует широких практических знаний в ИТ — от операционных систем до прикладных программ, от телекоммуникационных решений до мобильных устройств, от баз данных до аппаратных решений. Киберкриминалисту нужно не только знать, как работают наиболее распространённые ИТ-системы (желательно на уровне «админа»), но и понимать, как их защищают… и как обычно взламывают.
Прекрасно, когда в киберкриминалистику приходит человек с опытом работы в традиционной кибербезопасности и / или в администрировании. Выраженной методики подготовки нет, наилучший вариант — «обучение через действие», когда человек входит в профессию выполняя отдельные практические задания в процессе решения реальных задач. Сейчас появились очень хорошие курсы по киберкриминалистике (например, предлагаемые F.A.C.C.T.), способные прекрасно дополнить «обучение через действие» — но только дополнить, а не заменить.
Какие задачи стоят перед киберкриминалистами
Работа «респондеров» состоит в анализе следов проникновения для получения ответов на вполне практические вопросы:
- Что именно произошло?
После киберинцидента нужно понять — по возможности детально, — куда именно получили доступ хакеры и что они успели сделать. Это позволяет более точно оценить прямой ущерб от произошедшего и связанные с ним репутационные риски.
- Как это произошло?
Необходимо полностью восстановить весь цикл атаки. Это поможет специалистам по ИБ впоследствии исключить новые киберриски, которые хакеры могут реализовать по уже отработанной схеме или ей подобным.
- Что нужно делать в моменте?
Иногда киберкриминалистам приходится участвовать в реакции на инцидент, а не только изучать следы. Бывает, что активность хакеров в ИТ-инфраструктуре компании продолжает развитие в настоящее время. Реагировать на такую ситуацию нужно аккуратно, совместно с «безопасниками» выполняя действия по сдерживанию злоумышленника.
Появляются новые классы задач. Например, сейчас «форензиков» привлекают для выявления следов компрометации ИТ-инфраструктуры (compromise assessment). Обнаружение признаков выполненных ранее проникновений приводит «киберследопытов» к незакрытым уязвимостям или слабым местам в ИБ-структуре. Нередко после обнаружения таких ранее незамеченных киберинцидентов бывает необходимо проведение полноценных расследований.
Сколько времени занимает расследование?
Обычно расследование киберинцидента занимает около двух-трёх недель. Разумеется, бывают сложные ситуации, которые требуют заметно больше времени, но они весьма редки.
Основное время занимают расследование со всеми его этапами и анализ полученных данных — а иногда и действий по сдерживанию злоумышленников, — но несколько дней уходит на написание подробных отчётов. Документы тоже важны: нужно предоставить исчерпывающие данные для руководства компании-заказчика, её службы безопасности и внешних структур, предоставляющих сервисы «кибербеза», а в ряде случаев — и для правоохранительных органов: ведь работа киберкриминалистов способствует поимке и изобличению киберпреступников.
Задача изучения инфраструктуры компании на наличие следов проникновения злоумышленников требует куда больше времени: объём работ тут значителен. Такая работа может занять и месяц-другой, в зависимости от масштабов ИТ-инфраструктуры компании-заказчика. Интересно, что такие следы находят почти всегда: «отпечатки» работы вредоносных программ, кем-то когда-то оставленные бэкдоры, подозрительный трафик, характерный для работы отдельных постэксплуатационных фреймворков, и т. д. Всё это требует дополнительного исследования и анализа.
Таблица 1. SWOT-анализ для выбора профессии киберкриминалиста
|
Сильные стороны |
Слабые стороны |
|
[ + ] Интереснейшая творческая работа, требующая сочетания компетенций, практик и интуиции |
[ — ] Вход в профессию многоступенчатый, долгий и сложный. |
|
[ + ] Специальность редкая, поэтому оплата в среднем выше, чем у «безопасников» и «админов» |
[ — ] Рабочий день может превращаться в ненормированный — например, когда нужно сдерживать злоумышленников, приходится ночевать в офисе атакуемого заказчика |
|
Возможности |
Угрозы |
|
[ + ] Постоянное обучение самым свежим новинкам в ИТ, кибербезопасности и «форензике» держит в тонусе |
[ — ] Проблематично сменить род деятельности: расследования держат на адреналине, от этого не отказаться, из «форензики» не уходят |
Киберкриминалист учится всегда
Киберкриминалисту обязательно нужно практиковать непрерывное обучение в разных формах, постоянно актуализируя и развивая знания в области ИТ и кибербезопасности. Кроме общего развития в ИТ, нужно работать с предметными познаниями в «форензике»: достижениями, проблемами, живыми кейсами (in-the-wild) и т. д. Это знакомит с техниками и инструментами, а также создаёт «насмотренность на зло». Например, постепенно запоминаешь «почерк» разных группировок (вопрос атрибуции бывает крайне важен: это помогает быстрее распутать цепочку следов).
Обучается «форензик» как на практике, так и в ходе изучения теории, которая тоже развивается. Специалисту приходится много работать самостоятельно, получая информацию на курсах, имеющихся в свободном доступе, читая статьи и книги по специальности, просматривая тематические видео на YouTube, посещая конференции по инфобезопасности (например, PHD и OFFZONE) и т. д. «Форензики» регулярно просматривают профильные информационные ресурсы: This Week In 4N6, The DFIR Report и Sentinel Labs, блоги на Crowdstrike, Mandiant, Red Canary и TrustedSec, новости на Trend Micro и т. д. Много информации на YouTube, например на каналах SANS Digital Forensics and Incident Response, DFIRScience, 13Cubed, персональном канале Джона Хаммонда и других. Читать приходится Х (бывший «Твиттер»), где по тегам #DFIR и #DailyDFIR много полезной и оперативной информации.
Также «форензику» нужно обязательно знакомиться и разбираться с исследованиями, проводимыми Angara Security, BI.ZONE, Positive Technologies, «Лабораторией Касперского», F.A.C.C.T. и другими DFIR- и TI-командами (Threat Intelligence). Разумеется, важно живое общение киберкриминалистов, обсуждение практических вопросов и разнообразных кейсов.
Выводы
Востребованность киберкриминалистов растёт вместе с расширением рынка «кибербеза», но всё же обгоняет средние показатели по сегменту. Специалисты с такой квалификацией обычно не нужны в бизнес-структурах, в большинстве случаев киберкриминалисты трудятся в профильных компаниях, специализирующихся на предоставлении широкого спектра сервисов инфобезопасности. Цена специалиста в «форензике» в большинстве случаев «договорная», причём сильно зависящая от квалификации и опыта практической работы в расследовании инцидентов. Такие специалисты всегда были и будут в дефиците: нет быстрых путей для вхождения в ИТ, в том числе в киберкриминалистику.
