Компьютерная криминалистика: как ИБ-специалисты расследуют утечки данных

Адаптация бизнеса к новым цифровым технологиям стимулирует компании пересмотреть взгляды на контур информационной безопасности. Вместе с внедрением новых сервисов растут риски новых киберинцидентов. Виновниками могут стать не только злоумышленники, но и сотрудники компании. Так, по данным Infowatch, более 50% утечек данных происходит из-за сотрудников, 15% — из-за бывших работников и 13% — из-за злоумышленников. Виталий Фомин, эксперт по информационной безопасности Лиги Цифровой Экономики, расскажет, как компьютерная криминалистика расследует происшествия и находит виновных.

Компьютерная криминалистика: как ИБ-специалисты расследуют утечки данных

Задачи компьютерной криминалистики при расследовании утечек данных

Цель компьютерной криминалистики — обнаружить и проанализировать действия нарушителей в цифровом пространстве, чтобы в дальнейшем минимизировать количество преступлений.

Основные задачи:

  • сбор данных и доказательств;

  • анализ информации для восстановления хронологии действий преступника;

  • выдача экспертного заключения, которое будет доказательством в суде в рамках разбирательства в отношении нарушителей.

Этапы расследования утечки данных

Сначала эксперты-криминалисты получают уведомления о произошедшем киберинциденте. Затем команда собирает информацию с помощью комплекса программных средств и оборудования для извлечения и анализа информации с компьютеров и других электронных устройств, взаимодействующих с ним.

Эксперты восстанавливают удаленные файлы, чтобы выстроить хронологию событий. Например, как действовал нарушитель, какие методы и типы средств использовал. Далее проводится анализ метаданных для получения информации о похищенных или измененных документах и файлах, с которыми работали нарушители. Благодаря анализу определяется местоположение и другие сведения, которые помогают найти злоумышленника, а после станут доказательствами в суде.

Опытный эксперт может не только определить хронологию появления инцидента, но и оценить методы, которыми пользовался нарушитель, а также предложить решения, препятствующие повторению инцидента в будущем.

Типы цифровых доказательств

С помощью различного инструментария можно проанализировать:

  • дату и время;

  • запускаемые процессы;

  • загруженные библиотеки для каждого процесса;

  • список открытых соединений;

  • карту преобразований физических адресов в виртуальные;
  • данные с электронной почты, данные из изображений, данные банковских карт и телефонов;

  • данные с карт памяти, фото- и видеокамер, а также других устройств;
  • данные с сетевых устройств для анализа сетевого трафика;

  • и многое другое.

Поиск источника утечки данных

Эксперты-криминалисты используют специализированное ПО для поиска источника утечки информации. Например, наиболее востребованные ресурсы:

1. DEFT Linuix — дистрибутив на базе .*nix-подобной платформы, обладающий графическим интерфейсом. Благодаря ему можно решать тривиальные задачи более оперативно. Дистрибутив содержит набор профильных утилит для проведения мероприятий по форензике. В составе есть системы поиска информации в кеше браузера, сетевые сканеры, инструменты, необходимые при проведении поиска скрытых на диске данных и др. С помощью дистрибутива можно оценить последствия взлома информационной системы, объем скомпрометированных данных, сбор цифровых доказательств совершения киберпреступлений.

2. Фреймворк Volatility Framework предназначен для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти.

Существует обширный список программного обеспечения, который регулярно пополняется. Каждое из этих средств обладает своими плюсами и минусами и может подходить для конкретного перечня задач. Опытный эксперт-криминалист ознакомлен с базовым функционалом каждого из них и активно применяет на практике общие подходы в зависимости от обстоятельств.

Помимо популярного инструментария, есть и дополнительные средства, обеспечивающие извлечение информации из различных источников. Например, применяются сканеры, позволяющие в режиме многопоточности обеспечить оперативный сбор информации из различных источников.

Проблемы, с которыми сталкиваются ИБ-криминалисты

Компьютерная криминалистика — узкая область информационной безопасности, которая сталкивается с серьезной проблемой: нехваткой квалифицированных специалистов, способных эффективно расследовать инциденты.

Еще одна проблема — миграция вычислительных мощностей в облачную архитектуру, из-за чего экспертам-криминалистам приходится работать не напрямую с заказчиком, а через провайдера, предоставляющего услуги хостинга. Это требует дополнительного времени. А время — ценнейший ресурс.

Третья проблема вызвана многообразием программного обеспечения и операционных систем. Появляются новые дистрибутивы, сборки операционных систем. Из-за этого приходится придумывать новые методы расследования.

33
1 комментарий

сколько утечек было в прошлом году не счесть , а вычисляют долго и не сразу