Продолжаем рассказывать о различных специализациях в сфере ИБ, и сегодня мы поговорим о компьютерной криминалистике. Чтобы узнать, как собирают цифровые улики и идут по следу злоумышленников, какие атаки обходятся бизнесу дороже всего и что нужно, чтобы стать специалистом по расследованиям киберинцидентов, мы обратились к Денису Гойденко — начальнику отдела реагирования на инциденты ИБ экспертного центра безопасности Positive Technologies (PT Expert Security Center — PT ESC).
Денис, расскажи, когда компании обращаются за услугами по расследованию киберинцидентов.
К нам обращаются, если в компании произошел инцидент, например похитили деньги, украли важную информацию, заблокировали серверы. Мы помогаем понять, как, когда и кто это сделал, а также даем рекомендации по предотвращению возможных атак в будущем.
Как устроена работа специалиста по расследованию киберинцидентов?
Единого рабочего шаблона нет, но есть некоторые общепринятые точки контроля, которые мы всегда используем. Среди них: сбор информации, ее преобразование в приемлемый для анализа вид, сопоставление полученных сведений с уже известными данными, а также обогащение информации об инциденте новыми находками из IT-инфраструктуры и открытых источников. Этот процесс итеративен и прекращается только тогда, когда мы провели всесторонний анализ всей полученной информации.
Сбор информации, если говорить в общем, производится с жестких дисков, оперативной памяти, трафика. Для нас представляет интерес любая структурированная информация, сформированная любыми программными средствами: компонентами операционной системы, системными приложениями, специализированным программным обеспечением (ПО), средствами защиты и прочим ПО. При сборе данных мы тесно сотрудничаем с администраторами систем, максимально эффективно используя существующие программно-технические возможности инфраструктуры, но при этом не затрагивая бизнес-процессы.
Преобразование информации проводится как общедоступными средствами, так и с использованием внутренних разработок; при необходимости работаем совместно с нашими реверс-инженерами для быстрого разбора неизвестных нам форматов данных.
Когда стоит задача разобраться в том, как произошел конкретный инцидент, мы в первую очередь детально изучаем компанию, знакомимся с ее руководством, сотрудниками, собираем все возможные данные буквально по крупицам. Очень часто люди делятся противоречащими деталями: путаются в показаниях, дают разную информацию, очень специфично описывают инциденты. И, что уж там скрывать, далеко не все идут на контакт. Так что к истине приходим разными путями.
Вот вы собрали данные, а что происходит на следующем этапе?
Далее мы изучаем данные, образы, логи, собранные с технических средств, используемых в компании. Из большого массива информации мы выделяем данные, важные для расследования, сортируем их по времени, производим статистический анализ, исследуем и восстанавливаем цепочку событий в хронологическом порядке: от фактов проникновения в инфраструктуру до вывода данных или прочих действий, нарушающих целостность, конфиденциальность или доступность информации.
Есть ли какая-то связь между проблемами безопасности и спецификой, размерами бизнеса?
Абсолютно прозрачной и однозначной зависимости между типом, размером компании и возможными проблемами безопасности по большей части нет. К примеру, одна из главных угроз последнего времени — вирусы-шифровальщики, и атакуют они совершенно разные компании. По нашим данным, в 2019 году на их долю пришелся 31% заражений вредоносным ПО (ВПО) среди юридических лиц. Средняя сумма выплат злоумышленникам в 2019 году достигла нескольких сотен тысяч долларов США. В случае отказа платить выкуп операторы шифровальщиков шантажируют жертв публикацией похищенных перед шифрованием данных.
Часто ли случаются инциденты, которые можно назвать по-настоящему интересными? Можешь привести пример?
Иногда случаются. Например, недавно мы расследовали активность внутреннего шпиона на одном из крупных предприятий. Там злоумышленнику удалось подменить платежные документы компании, которые были отправлены партнерам, в итоге деньги ушли на офшорный счет злоумышленника. Как выяснилось, виновником оказался один из технических специалистов компании, который разработал целый план и полгода готовился к операции: собирал информацию, включая пароли администраторов и руководства, тестировал технические механизмы для сокрытия своих действий. В этом конкретном случае деньги компания-партнер не потеряла (транзакция показалось подозрительной банку, и ее отклонили), но этот кейс показал уязвимость корпоративной инфраструктуры перед внутренним злоумышленником.
Расследование подобных инцидентов сопряжено с определенными сложностями. Если действия внешнего нарушителя выявить можно за счет поиска аномального для анализируемой инфраструктуры ПО и необычного поведения пользователей, то инсайдер прекрасно знаком с инфраструктурой и старается использовать уже доступные ему инструменты. Например, он может более эффективно использовать социальную инженерию, свои личные отношения с коллегами, что минимизирует аномалии в исследуемой инфраструктуре и усложняет поиск внутреннего нарушителя. Также в таких кейсах приходится углубляться в логику бизнес-процессов компании, что нетипично для расследований действий хакерских группировок.
В этом случае злоумышленнику не удалось получить выгоду. А расскажи примеры из практики, когда потери компаний были существенны?
Да, предотвратить потерю средств удается не всегда. Часто из-за человеческого фактора бизнес терпит убытки. Наиболее ярко это иллюстрируют случаи с шифрованием инфраструктуры. Для проведения подобных деструктивных действий преступникам, как правило, не требуется серьезная подготовка или разработка собственных уникальных инструментов. Шифрование инфраструктуры — простейший способ заработка для злоумышленников самого низкого уровня квалификации, однако ущерб от таких действий может исчисляться миллионами рублей. Столько компания может потерять всего за один день только от простоя инфраструктуры и остановки бизнес-процессов. Выкуп в таких случаях, как правило, гораздо ниже ущерба от простоя. Но нужно иметь в виду: злоумышленники не всегда хотят расшифровывать инфраструктуру после получения выкупа и, более того, не всегда могут это сделать технически из-за ошибок при шифровании или потерь ключей для дешифровки. Чтобы противостоять таким хакерам, необходимо как минимум создавать бэкапы критичных систем и, если инцидент все же произошел, оперативно привлекать специалистов для расследования и быстрого выявления способа проникновения злоумышленника.
Как происходят расследования атак крупных кибергруппировок?
Здесь тоже все всегда по-разному. Многое зависит от специализации группировки: кто-то нацелен на хищение денег, кто-то — данных. Мотивы преступников влияют на выбор ими ресурсов и подходов. Если компания или государственная организация не проводит регулярный аудит, то профессиональные киберпреступники могут годами находиться в инфраструктуре незамеченными. Самый долгий период присутствия злоумышленников в инфраструктуре, который мы встречали в нашей практике, длился более восьми лет.
Часто обнаружить такую активность удается, когда внимание кого-то в компании привлекает один факт, например стал тормозить сервер или пришла необычная рассылка. Тогда к делу привлекают нас, а мы узнаем, что подобные рассылки отправляет известная кибергруппировка и что такие письма в компании уже получали, а кто-то даже открывал и запускал содержащиеся в них файлы.
Как выглядит команда специалистов по расследованию инцидентов?
В команде, которая занимается непосредственно расследованиями, несколько человек. Однако наша работа была бы не так продуктивна без взаимодействия с экспертами по threat intelligence (мониторинг актуальных угроз) и реверс-инженерами. Также мы практикуем внедрение наших продуктов на период расследования. Например, чтобы провести мониторинг трафика либо событий на сетевых узлах, мы работаем с нашими инженерами по внедрению.
Какой склад ума нужен, чтобы добиться успехов в твоей профессии?
Расследование инцидентов — работа, которая требует усидчивости. Конечно, нужно иметь определенные технические компетенции, но гораздо важнее уметь анализировать информацию, сопоставлять факты, искать аномалии в неизвестных ранее структурах данных. Также важно опираться именно на обнаруженные факты: это помогает наиболее быстро и достоверно восстановить цепочку действий злоумышленника.
Насколько перспективна работа специалистом по расследованиям киберинцидентов?
Компьютерная криминалистика — очень перспективная профессия! И причины вполне прозрачны. Всеобщая цифровизация и понижение порога входа в мир киберпреступлений приводят к закономерному увеличению количества атак. Можно к этому прибавить то, что многие компании до сих пор не осознали важность информационной безопасности и продолжают придерживаться принципа «пока гром не грянет…». По нашим данным, 20% организаций никак не отслеживают киберинциденты, анализировать инциденты и принимать меры по реагированию на них готово только 50% организаций, а 53% всех предприятий не проводят регулярного обучения сотрудников по вопросам ИБ. Иными словами, количество инцидентов будет только расти, а значит, кому-то нужно будет их расследовать.