Компьютерная криминалистика: как ИБ-специалисты расследуют утечки данных

Адаптация бизнеса к новым цифровым технологиям стимулирует компании пересмотреть взгляды на контур информационной безопасности. Вместе с внедрением новых сервисов растут риски новых киберинцидентов. Виновниками могут стать не только злоумышленники, но и сотрудники компании. Так, по данным Infowatch, более 50% утечек данных происходит из-за сотрудников, 15% — из-за бывших работников и 13% — из-за злоумышленников. Виталий Фомин, эксперт по информационной безопасности Лиги Цифровой Экономики, расскажет, как компьютерная криминалистика расследует происшествия и находит виновных.

Цель компьютерной криминалистики — обнаружить и проанализировать действия нарушителей в цифровом пространстве, чтобы в дальнейшем минимизировать количество преступлений.

Основные задачи:

Сначала эксперты-криминалисты получают уведомления о произошедшем киберинциденте. Затем команда собирает информацию с помощью комплекса программных средств и оборудования для извлечения и анализа информации с компьютеров и других электронных устройств, взаимодействующих с ним.

Эксперты восстанавливают удаленные файлы, чтобы выстроить хронологию событий. Например, как действовал нарушитель, какие методы и типы средств использовал. Далее проводится анализ метаданных для получения информации о похищенных или измененных документах и файлах, с которыми работали нарушители. Благодаря анализу определяется местоположение и другие сведения, которые помогают найти злоумышленника, а после станут доказательствами в суде.

Опытный эксперт может не только определить хронологию появления инцидента, но и оценить методы, которыми пользовался нарушитель, а также предложить решения, препятствующие повторению инцидента в будущем.

С помощью различного инструментария можно проанализировать:

Эксперты-криминалисты используют специализированное ПО для поиска источника утечки информации. Например, наиболее востребованные ресурсы:

1. DEFT Linuix — дистрибутив на базе .*nix-подобной платформы, обладающий графическим интерфейсом. Благодаря ему можно решать тривиальные задачи более оперативно. Дистрибутив содержит набор профильных утилит для проведения мероприятий по форензике. В составе есть системы поиска информации в кеше браузера, сетевые сканеры, инструменты, необходимые при проведении поиска скрытых на диске данных и др. С помощью дистрибутива можно оценить последствия взлома информационной системы, объем скомпрометированных данных, сбор цифровых доказательств совершения киберпреступлений.

2. Фреймворк Volatility Framework предназначен для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти.

Существует обширный список программного обеспечения, который регулярно пополняется. Каждое из этих средств обладает своими плюсами и минусами и может подходить для конкретного перечня задач. Опытный эксперт-криминалист ознакомлен с базовым функционалом каждого из них и активно применяет на практике общие подходы в зависимости от обстоятельств.

Помимо популярного инструментария, есть и дополнительные средства, обеспечивающие извлечение информации из различных источников. Например, применяются сканеры, позволяющие в режиме многопоточности обеспечить оперативный сбор информации из различных источников.

Компьютерная криминалистика — узкая область информационной безопасности, которая сталкивается с серьезной проблемой: нехваткой квалифицированных специалистов, способных эффективно расследовать инциденты.

Еще одна проблема — миграция вычислительных мощностей в облачную архитектуру, из-за чего экспертам-криминалистам приходится работать не напрямую с заказчиком, а через провайдера, предоставляющего услуги хостинга. Это требует дополнительного времени. А время — ценнейший ресурс.

Третья проблема вызвана многообразием программного обеспечения и операционных систем. Появляются новые дистрибутивы, сборки операционных систем. Из-за этого приходится придумывать новые методы расследования.