Кто-то пытался украсть ваши конфиденциальные данные или зашифровать серверы, но как именно злоумышленники проникли в сеть? Практика расследования киберинцидентов (форензика) не только включает в себя определение вектора вредоносных действий и поиск преступника или инсайдера, но и может раскрыть кампанию APT-группировки (Advanced Persistent Threat, целевая атака).
- Введение
- Что такое расследование киберинцидентов
- Как расследуют инциденты в сфере информационной безопасности
- Практические вопросы расследования киберинцидентов
- Прогнозы развития и тенденции рынка расследования инцидентов в ИБ
- Выводы
Введение
Специалистов занимающихся расследованием киберинцидентов нередко сравнивают с героями детективов и называют сыщиками XXI века. Мы решили поговорить с представителями ключевых игроков рынка форензики, чтобы понять, всем ли компаниям необходимо расследовать происшествия в сфере информационной безопасности, можно ли качественно разобрать инцидент не привлекая сторонних специалистов и всегда ли важно найти организатора атаки. Беседа прошла в рамках проекта AM Live, за обсуждением в студии Anti-Malware.ru зрители могли наблюдать в прямом эфире нашего YouTube-канала.
Участники дискуссии:
- Михаил Прохоренко, руководитель группы реагирования компании BI.ZONE.
- Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии.
- Дмитрий Лифанов, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
- Олег Скулкин, заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода, компания Group-IB.
- Денис Гойденко, руководитель отдела реагирования на угрозы ИБ, компания Positive Technologies.
- Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар».
- Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского».
Ведущий и модератор дискуссии: Сергей Рысин, главный специалист по защите информации департамента специальных проектов компании HeadHunter.
Что такое расследование киберинцидентов
Чтобы задать тон беседе и определиться с терминами, ведущий предложил гостям студии рассказать, что включает в себя понятие «расследование инцидентов в ИБ».
Денис Гойденко:
— В моём понимании расследование инцидентов — это решение конкретных проблем, возникающих у заказчика. Если заказчик подозревает, что в рамках его инфраструктуры произошла некая нелегитимная активность, необходимо начать расследование или реагирование (эти два понятия на практике сильно связаны между собой).
Олег Скулкин:
— Одним из этапов жизненного цикла реагирования на инциденты является анализ и реконструкция атаки — это тоже можно назвать частью расследования. Тем не менее в нашем понимании расследование — это уже действия правоохранительных органов, когда собранные данные об инфраструктуре или инструментах атакующих используются для поиска злоумышленников.
Михаил Кондрашин:
— Долгое время индустрия информационной безопасности предлагала клиентам защиту от угроз, однако со временем стало понятно, что полностью предотвратить инциденты невозможно. Ключевой вопрос в этой ситуации — что делать, если инцидент произошёл. Ответом может быть широкий спектр действий — от выявления несоблюдения инструкций конкретным сотрудником до определения масштабной хакерской кампании и передачи материалов правоохранительным органам.
Михаил Прохоренко:
— Основная часть расследования связана с тем, чтобы реконструировать атаку и выяснить причину: как она произошла. Однако немаловажная составляющая, про которую иногда забывают, — это определение величины нанесённого ущерба. Так заказчик сможет понять, какие данные и системы были скомпрометированы, а также выработать меры реагирования на текущую атаку.
Константин Сапронов:
— Важно помнить, что основная цель процесса расследования — помочь компании закрыть уязвимость и построить свои процессы так, чтобы подобной атаки больше не повторилось. В этом состоит главная ценность этих действий для бизнеса.
Игорь Залевский:
— Вендоры начали предлагать продукты по защите, потому что инциденты происходили; это основа и смысл ИБ-инструментов любого уровня. Сейчас существует большой класс продуктов, которые облегчают расследование инцидентов, однако экспертные навыки специалистов по интерпретации собранных ими данных автоматизировать очень сложно.
Дмитрий Лифанов:
— Иногда расследование инициируется поскольку у заказчика есть подозрение, что произошел киберинцидент. В этом случае отсутствие результата расследования, то есть неподтверждение факта атаки, является лучшим итогом работы специалистов. Такие кейсы тоже иногда бывают.
Большинство зрителей прямого эфира проводят расследования инцидентов в своей организации — мы выяснили это в ходе традиционного опроса. Анализируют и разбирают ИБ-происшествия собственными силами или при помощи привлечённых специалистов 78 % опрошенных. Не ведут такой деятельности только 22 %.
Рисунок 1. Проводили ли вы в своей организации расследование инцидентов в ИБ?
Как расследуют инциденты в сфере информационной безопасности
Спикеры конференции подчеркнули, что, говоря о расследовании киберинцидентов, следует выделять две сферы деятельности — непосредственно атрибуцию атаки, т. е. понимание того, как и с помощью каких средств она была проведена, и юридическое сопровождение инцидента, которое включает в себя поиск злоумышленника и работу с правоохранительными органами. Как отметили наши эксперты, заказчик в первую очередь заинтересован в предотвращении подобных атак в будущем, поэтому главную ценность для бизнеса представляет именно коммерческое расследование инцидента.
Вместе с тем, например, когда речь идёт об атаке через инсайдера, важно найти лиц причастных к инциденту и принять по отношению к ним необходимые меры. Такую услугу оказывают не все компании, занимающиеся расследованием киберинцидентов. Юридическое сопровождение может стоить значительно дороже обычного, «технического» расследования.
Может ли заказчик провести расследование киберинцидента самостоятельно — без привлечения сторонних специалистов? По мнению наших экспертов, клиент обладающий достаточно зрелыми службами ИБ и ИТ способен взять на себя часть работы по расследованию происшествия. Проблема в том, что в процессе анализа инцидента заказчик, скорее всего, столкнётся с необходимостью привлечения «узкого» специалиста, держать которого в штате невыгодно. Провайдеры специализированных услуг имеют возможность комплектовать всесторонне подготовленные команды расследователей как из сотрудников, так и из сторонних специалистов.
У 41 % компаний, чьи представители наблюдали за прямым эфиром конференции AM Live, есть выделенная команда специалистов, занимающаяся расследованиями киберинцидентов. Ещё 29 % опрошенных собирают такую группу из сотрудников разных отделов при необходимости. Не имеют собственных ресурсов для расследования инцидентов 30 % участников опроса.
Рисунок 2. Есть ли у вашей компании своя команда, занимающаяся расследованиями?
Как собрать необходимую для расследования информацию и не парализовать работу компании? Мы уже писали о практике этого процесса. Гости студии обратили внимание, что при проведении расследования важно правильно построить взаимодействие с командой специалистов заказчика. Компетентные сотрудники клиента, которые понимают, как работает инфраструктура, могут частично или полностью взять на себя функцию сбора необходимых данных и не нарушить при этом бизнес-процессы. Поставщик услуг должен лишь правильно поставить задачу: какие данные и с каких объектов инфраструктуры необходимо собрать.
Эксперты подчеркнули, что значительное влияние на работу заказчика может оказать реагирование на ещё продолжающуюся атаку — этап «изгнания» злоумышленника из сети. Однако если расследование проведено грамотно, то остановка бизнеса будет кратковременной.
В студии развернулась оживлённая дискуссия по вопросу о том, можно ли автоматизировать процесс расследования, отдав его специализированным системам. Некоторые эксперты утверждали, что при правильном подборе продуктов «живые» специалисты могут потребоваться только в крайнем случае, для разбора наиболее сложных случаев. Другая часть наших гостей не согласилась с таким подходом, утверждая, что интерпретация собранных в автоматическом режиме данных должна оставаться за специалистом.
Практические вопросы расследования киберинцидентов
Ведущий поинтересовался у спикеров: кто, по результатам расследований, чаще всего стоит за инцидентом? Как оказалось, наибольшее число ИБ-происшествий приходится на долю организованной киберпреступности, которая интересуется в первую очередь коммерческими компаниями. Если же говорить о государственных заказчиках, то их чаще всего атакуют APT-группировки. При этом зачастую о квалификации злоумышленника можно судить только по косвенным признакам — сложности используемых инструментов, применяемым методам и другим факторам.
Заказчику важно знать, кто стоит за инцидентом, чтобы понимать, какие последствия он может принести. Является ли происшествие «верхушкой айсберга», которая откроет масштабную кампанию против организации, или же это — единичный случай, ставший результатом случайного стечения обстоятельств? Методы реагирования также зависят от целей атакующих.
Мы спросили зрителей прямого эфира: каковы, по их мнению, цели у процесса расследования инцидентов в ИБ? Значительная часть респондентов (40 %) считают, что главное — выявить, как произошёл инцидент. Сбор доказательной базы по происшествию назвали основной целью 5 % респондентов, а оценку ущерба — лишь 4 %. Поиск виновного собственными силами или через правоохранительные органы ставят целью расследования 2 % участников опроса. Однако наибольшее число голосов — 46 % — набрал «комплексный» вариант, включающий все вышеперечисленные факторы. Затруднились с ответом 3 % наших зрителей.
Рисунок 3. Каковы, на ваш взгляд, основные цели расследования инцидентов в ИБ?
По просьбе ведущего эксперты назвали типы атак, с которыми им приходится чаще всего сталкиваться при расследованиях:
- Шифровальщики / вымогатели (ransomware) — мы рассказывали, как восстановить картину атаки таких программ.
- Компрометация Microsoft Exchange.
- Подделка деловой переписки (BEC).
- Целевые атаки APT-групп.
Ведущий прямого эфира задал вопрос: какие особенности существуют при расследовании инцидентов в облачной среде? Спикеры отметили, что получение логов от облачного провайдера обычно затруднено. Многие операторы вообще выдают подобную информацию только по запросам правоохранительных органов. Как подчеркнули эксперты AM Live, даже взаимодействие со службой поддержки облачного провайдера может представлять сложность для заказчика, поскольку необходимо правильно формировать запрос, разговаривать с оператором «на одном языке».
С другой стороны, получить образ хоста от облачного провайдера зачастую даже проще, чем при работе с собственным сервером. Как отметили спикеры в студии, такие функциональные возможности предусмотрены у большинства крупных провайдеров. Аналогичные возможности имеют, например, почтовые системы. Специалисты рекомендуют ещё на стадии размещения информации в облаке обсудить с провайдером настройки аудита и логирования, включить эти функции в список предоставляемых услуг.
В процессе расследования сторонние специалисты нередко сталкиваются с противодействием ИТ-подразделения заказчика. Это может быть связано как с попыткой скрыть недостатки в безопасности инфраструктуры, так и с соучастием сотрудников в атаке. Как отметили наши эксперты, ИТ-служба может либо активно помогать расследованию, либо сильно мешать его ходу. Гости студии привели примеры, когда в попытках «замести следы» сотрудники заказчика пытались удалить логи, отключить удалённый доступ и даже проглотить флешку с данными.
Большинство зрителей, наблюдавших за прямым эфиром конференции, готовы доверить сторонней организации расследование киберинцидентов в своей компании. Об этом заявили 78 % участников нашего опроса. Предпочитают обходиться безо внешнего вмешательства в этом вопросе 22 % респондентов.
Рисунок 4. Вы готовы доверить расследование инцидента в ИБ внешней компании?
Прогнозы развития и тенденции рынка расследования инцидентов в ИБ
Что ждёт индустрию расследования инцидентов в ближайшие годы? Мы попросили экспертов дать свой прогноз с горизонтом в 3–5 лет. Специалисты отметили возрастающую роль автоматизации в процессах расследования ИБ-происшествий. Специализированные системы смогут получать информацию от большего количества источников, станут активно использовать машинное обучение, научатся взаимодействовать с различными информационными средами. При этом роль человека в расследовании по-прежнему будет значительной. Как отметили гости студии, средства защиты, за которыми никто не смотрит, неэффективны против атак управляемых людьми.
Оказывает ли государство поддержку в процессе расследования киберинцидентов? Существуют ли на этом уровне какие-либо инициативы, призванные облегчить взаимодействие игроков рынка информационной безопасности и правоохранительных органов? Эксперты подчеркнули, что у бизнеса существует настороженное отношение к государству, действия которого нередко затрудняют расследование. При этом наблюдается положительная динамика в работе правоохранительных органов, особенно в сфере межгосударственного взаимодействия при раскрытии киберпреступлений.
Ещё одна функция государственных органов — просветительская. Через нормативные акты регуляторы могут объяснить важность проведения расследований, что значительно облегчает работу специалистов по информационной безопасности с государственными предприятиями.
Традиционный опрос зрителей перед завершением эфира показал, что дискуссия была полезной и продуктивной. Так, 38 % опрошенных будут теперь чаще проводить расследования, ещё 36 % сообщили, что заинтересовались темой и в случае выявления киберинцидента проведут его анализ. Поменять поставщика специализированных услуг по итогам нашего эфира решили 7 % зрителей.
Считают тему расследования инцидентов ИБ интересной, но пока избыточной для своей компании 13 % участников опроса. Сочли аргументы участников дискуссии неубедительными 2 % респондентов, а ещё 4 % вообще не поняли, о чём шла речь во время прямого эфира.
Рисунок 5. Каково ваше мнение относительно расследования компьютерных инцидентов после эфира?
Выводы
Понимание схемы произошедшей атаки, методов проникновения и техник, использованных злоумышленниками, может помочь организации предотвратить аналогичные инциденты в будущем. Однако расследование в сфере кибербезопасности не ограничивается атрибуцией атаки: специализированные компании способны не только оказать содействие в работе с правоохранительными органами и помочь найти преступника, но и выявить его мотивы. Последнее особенно важно, поскольку незначительный на первый взгляд инцидент может быть лишь видимой частью большой целенаправленной кампании.
Для эффективного расследования ИБ-происшествий требуется целая команда специалистов, и далеко не каждая компания способна содержать её самостоятельно. Вместе с тем эффективное взаимодействие с сотрудниками заказчика может существенно облегчить анализ происшествия и определение виновных. К сожалению, в практике расследования киберинцидентов случаются и примеры противодействия работе внешней команды экспертов со стороны ИТ-службы.
Прямой эфир, посвящённый расследованию инцидентов, стал частью проекта AM Live — серии онлайн-конференций по актуальным вопросам рынка информационной безопасности в России. Чтобы не пропустить следующие прямые эфиры и иметь возможность задавать вопросы экспертам в студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
