Компьютерная криминалистика: как ИБ-специалисты расследуют утечки данных
Адаптация бизнеса к новым цифровым технологиям стимулирует компании пересмотреть взгляды на контур информационной безопасности. Вместе с внедрением новых сервисов растут риски новых киберинцидентов. Виновниками могут стать не только злоумышленники, но и сотрудники компании. Так, по данным Infowatch, более 50% утечек данных происходит из-за сотрудников, 15% — из-за бывших работников и 13% — из-за злоумышленников. Виталий Фомин, эксперт по информационной безопасности Лиги Цифровой Экономики, расскажет, как компьютерная криминалистика расследует происшествия и находит виновных.
Задачи компьютерной криминалистики при расследовании утечек данных
Цель компьютерной криминалистики — обнаружить и проанализировать действия нарушителей в цифровом пространстве, чтобы в дальнейшем минимизировать количество преступлений.
Основные задачи:
сбор данных и доказательств;
анализ информации для восстановления хронологии действий преступника;
выдача экспертного заключения, которое будет доказательством в суде в рамках разбирательства в отношении нарушителей.
Этапы расследования утечки данных
Сначала эксперты-криминалисты получают уведомления о произошедшем киберинциденте. Затем команда собирает информацию с помощью комплекса программных средств и оборудования для извлечения и анализа информации с компьютеров и других электронных устройств, взаимодействующих с ним.
Эксперты восстанавливают удаленные файлы, чтобы выстроить хронологию событий. Например, как действовал нарушитель, какие методы и типы средств использовал. Далее проводится анализ метаданных для получения информации о похищенных или измененных документах и файлах, с которыми работали нарушители. Благодаря анализу определяется местоположение и другие сведения, которые помогают найти злоумышленника, а после станут доказательствами в суде.
Опытный эксперт может не только определить хронологию появления инцидента, но и оценить методы, которыми пользовался нарушитель, а также предложить решения, препятствующие повторению инцидента в будущем.
Типы цифровых доказательств
С помощью различного инструментария можно проанализировать:
дату и время;
запускаемые процессы;
загруженные библиотеки для каждого процесса;
список открытых соединений;
- карту преобразований физических адресов в виртуальные;
данные с электронной почты, данные из изображений, данные банковских карт и телефонов;
- данные с карт памяти, фото- и видеокамер, а также других устройств;
данные с сетевых устройств для анализа сетевого трафика;
и многое другое.
Поиск источника утечки данных
Эксперты-криминалисты используют специализированное ПО для поиска источника утечки информации. Например, наиболее востребованные ресурсы:
1. DEFT Linuix — дистрибутив на базе .*nix-подобной платформы, обладающий графическим интерфейсом. Благодаря ему можно решать тривиальные задачи более оперативно. Дистрибутив содержит набор профильных утилит для проведения мероприятий по форензике. В составе есть системы поиска информации в кеше браузера, сетевые сканеры, инструменты, необходимые при проведении поиска скрытых на диске данных и др. С помощью дистрибутива можно оценить последствия взлома информационной системы, объем скомпрометированных данных, сбор цифровых доказательств совершения киберпреступлений.
2. Фреймворк Volatility Framework предназначен для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти.
Существует обширный список программного обеспечения, который регулярно пополняется. Каждое из этих средств обладает своими плюсами и минусами и может подходить для конкретного перечня задач. Опытный эксперт-криминалист ознакомлен с базовым функционалом каждого из них и активно применяет на практике общие подходы в зависимости от обстоятельств.
Помимо популярного инструментария, есть и дополнительные средства, обеспечивающие извлечение информации из различных источников. Например, применяются сканеры, позволяющие в режиме многопоточности обеспечить оперативный сбор информации из различных источников.
Проблемы, с которыми сталкиваются ИБ-криминалисты
Компьютерная криминалистика — узкая область информационной безопасности, которая сталкивается с серьезной проблемой: нехваткой квалифицированных специалистов, способных эффективно расследовать инциденты.
Еще одна проблема — миграция вычислительных мощностей в облачную архитектуру, из-за чего экспертам-криминалистам приходится работать не напрямую с заказчиком, а через провайдера, предоставляющего услуги хостинга. Это требует дополнительного времени. А время — ценнейший ресурс.
Третья проблема вызвана многообразием программного обеспечения и операционных систем. Появляются новые дистрибутивы, сборки операционных систем. Из-за этого приходится придумывать новые методы расследования.
сколько утечек было в прошлом году не счесть , а вычисляют долго и не сразу