Компания group ib выделяет следующие основные типы компьютерных инцидентов
Новая программа киберобучений от Group-IB «Расследование компьютерных преступлений» позволит вам понять, насколько вы готовы противостоять хакерам мирового уровня. Как оказаться умнее киберпреступников в собственной сети и не дать им заработать на вас? Курс научит, что делать при выявлении взлома, а также как проводить технический анализ данных по следам действий злоумышленников.
Программа составлена сертифицированными (GIAC GCFA, CISM, MCFE, ACE) специалистами по компьютерной криминалистике на основе реальных случаев расследования компьютерных инцидентов разного уровня сложности.
Специалисты Group-IB уверены, что ни одно средство защиты не дает 100% безопасности. На первый план выходят осведомленность технического персонала и умение настраивать сеть для эффективного мониторинга. Курс открывает реальность мира киберпреступников и способы противодействия их активности.
Данный курс представляет собой сочетание теоретических лекций, практических занятий, а также самостоятельное расследование реального инцидента информационной безопасности.
Аудитория
- Руководители и специалисты отделов ИБ.
- Руководители и специалисты технических отделов.
- Сетевые администраторы.
- Команда специалистов по реагированию на инциденты информационной безопасности.
- Специалисты центров по реагированию (CERT).
- Специалисты по тестам на проникновение.
- Компьютерные криминалисты и эксперты.
- Red team.
- Threat hunters.
Предварительная подготовка
- Базовые знания о файловых системах.
- Базовые знания об ОС семейства Windows.
- Базовые знания об ОС семейства Linux.
- Понимание основных принципов информационной безопасности и методов работы средств защиты.
В результате обучения
В ходе курса вы получите:
- Понимание того, от кого надо защищаться и как строить информационную безопасность в организации: автономная работа средств защиты не спасет от инцидента без специалистов, которые понимают суть современных компьютерных атак и методов их совершения
- Критерии, по которым можно отличать критические срабатывания от ложных: событий от средств защиты много, а выявить надо совокупность факторов, говорящих, что прямо сейчас вы подвергаетесь атаке или уже взломаны
- План по проведению первичного реагирования, чтобы своевременно найти хакеров в сети и избавиться от них: реагировать надо быстро и эффективно, от этого зависит, произойдет ли утечка данных, удаление/шифрование информации, кража денежных средств, компрометация почты и т.д.
- Инструменты компьютерной криминалистики, позволяющие восстанавливать хронологию событий инцидентов при их расследовании: как вас взломали? распространялись по сети? как усилить защиту, чтобы такого не повторилось? детальный анализ скомпрометированных станций позволяет предотвратить эскалацию инцидента и выявить все закладки хакеров, чтобы перекрыть полностью каналы доступа в организацию
- Методики поиска данных о лицах, причастных к инцидентам, из открытых источников и сбора доказательной базы.
Пакет слушателя
- Презентация курса с необходимыми для практических занятий материалами раздается в формате PDF
- Учебные материалы в электронном виде для самостоятельной работы.
Дополнительно
После успешной сдачи зачета выпускники получают:
- свидетельства об обучении в Учебном центре «Информзащита»,
- сертификаты Компании Group-IB.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа курса
День 1. Первичное реагирование
- Тренды киберпреступлений и способы защиты корпоративной инфраструктуры.
- Идентификация проникновения в корпоративную сеть.
- План выявления злоумышленника в сети организации и всех скомпрометированных компьютеров.
- Устранение всех установленных способов доступа злоумышленников в сеть организации.
- Разработка мер по предотвращению и своевременному обнаружению взломов.
- Поиск уликовой информации на компьютерах. Основные принципы изъятия компьютерной техники. В каких объектах содержится уликовая информация. Методы сокрытия таких данных от обнаружения.
- Выявление методов и средств контр-криминалистики: полнодисковое шифрование, удаленное хранение информации и др. Особенности работы в данных условиях.
- Сбор доказательной базы и ее оформление/хранение.
- Особенности фиксации содержимого мобильных устройств: изоляция от беспроводных сетей передачи данных, предотвращение блокировки устройств, предотвращение удаленной модификации или уничтожения данных.
- Игра-моделирование реальной атаки на организацию и тренировка навыков принятия мер по минимизации ущерба от нее.
День 2. Компьютерная криминалистика систем под управлением ОС Windows
- Основы компьютерной криминалистики и поиск артефактов в ОС Windows.
- Восстановление данных.
- Выявление методов сокрытия данных и их разоблачение.
- Выявление зараженных систем и восстановление хронологии заражения посредством plaso и log2timeline.
- Исследование систем при расследовании инсайдов.
- Использование криминалистически важной информации для Threat Hunting.
- Практические занятия со скомпрометированными системами.
День 3. Криминалистика оперативной памяти
- Принцип работы оперативной памяти, межпроцессный обмен данными и внедрение вредоносного кода в процессы.
- Live-анализ оперативной памяти для выявления признаков компрометации системы.
- Создание дампов оперативной памяти и специфика их анализа посредством volatility, Rekall, Redline. Особенности исследования для разных ОС.
- Исследование файлов гибернации и подкачки на предмет поиска криминалистических артефактов.
- Алгоритм выявления аномалий и вредоносной активности в оперативной памяти.
- Практические занятия на восстановление хронологии атак на основе дампов оперативной памяти.
День 4. Сетевая криминалистика
- Общие сведения о сетях и сетевом взаимодействии.
- Основные принципы проведения сетевой криминалистики. Регламент действий сотрудников с целью получения максимально подробной информации для проведения анализа.
- Типовые источники данных для проведения сетевой криминалистики и их исследование.
- Особенности инструментария для создания дампа сетевого трафика.
- Анализ трафика с помощью ПО Wireshark, Sguil, Xplico, Squer, SecurityOnion и др.
- OSINT.
- Практические занятия по анализу вредоносного трафика, зашифрованного трафика и выявление аномальной активности.
День 5. Самостоятельное расследование
- Определение типа атаки и задействованных в атаке людей на примере образов из скомпрометированной сети.
- Выстраивание поминутного сценария атаки и компрометации данных.
- Оформление отчета и разработка рекомендаций по предупреждению атак подобного характера.
Формат
20 - 24 июня 2022
12 - 16 сентября 2022
19 - 23 декабря 2022
Каталог курсов
Расписание курсов
Обучение
Учебный центр
Сведения об образовательной организации
Контакты
Повышение осведомленности
Учебный центр
Мы используем файлы cookie, чтобы предоставлять вам наилучшие услуги на нашем веб-сайте, измерять посещаемость и эффективность,
а также размещать рекламу. Узнать больше
Нажимая «Принимаю» или оставаясь на сайте,
вы соглашаетесь с условиями использования.
Условия использования файлов cookie
Когда вы посещаете какой-либо веб-сайт, включая наш, в вашем браузере могут сохраняться данные, или браузер может передавать такие данные, в основном, в виде файлов cookie. Такие данные обычно не идентифицируют вас непосредственно, но могут предоставлять вам индивидуализированные возможности работы в интернете. Это может быть информация о ваших предпочтениях или вашем устройстве, которая, как правило, используется для работы веб-сайта в соответствии с вашими ожиданиями. Эти файлы cookie позволяют нам подсчитывать количество и источники посетителей, чтобы оценивать и улучшать работу нашего веб-сайта. В результате мы знаем, какие страницы являются наиболее и наименее популярными, и видим, каким образом посетители перемещаются по веб-сайту. Все данные, собираемые при помощи этих cookie, объединяются и поэтому являются анонимными. Если вы не разрешаете использование этих файлов cookie, у нас не будет данных о посещении вами нашего веб-сайта, и мы не сможем контролировать его эффективность.
Мы уважаем ваше право на конфиденциальность, поэтому вы можете отказаться от использования некоторых типов файлов cookie.
Продолжая работу на сайте вы выражаете свое согласие на автоматизированную обработку данных включая файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии, в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто, с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнёрам Компании, предоставляющим сервис по указанным метрическим программам. Обработка информации осуществляется в целях улучшения работы сайта, совершенствования продуктов и услуг Компании, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Компании и его партнёров.
Настоящее согласие действует с момента его предоставления и в течение всего периода использования сайта.
В случае отказа от обработки персональных данных метрическими программами я проинформирован о необходимости прекратить использование сайта или отключить файлы cookie в настройках браузера.
Настройки вашего браузера и устройства
Кроме того, если вы хотите ограничить, заблокировать или удалить файлы cookie, вы можете сделать это в настройках вашего веб-браузера. В зависимости от используемого браузера необходимые шаги могут немного отличаться. Нажмите на любую из ссылок для браузеров ниже, чтобы ознакомиться с инструкциями.
Если вы не пользуетесь ни одним из вышеперечисленных браузеров, вызовите функцию «Справка» в вашем веб-браузере, чтобы узнать, что вам нужно сделать.
Обратите внимание, что доступ к определенным разделам наших веб-сайтов возможен только при разрешенных файлах cookie, и вы должны понимать, что отключение файлов cookie может привести к тому, что вы не сможете получить доступ к некоторому контенту и воспользоваться всеми функциями нашего Онлайн-сервиса.
Проведение компьютерной экспертизы с использованием передового оборудования и собственных программных разработок, получивших мировое признание
Крупнейшая в Восточной Европе лаборатория компьютерной криминалистики
18 лет опыта работы в сфере e-discovery и исследования вредоносного кода
1300+ успешных расследований по всему миру
Собственный курс обучения, признанный Интерполом и Европолом
Восстановление данных, аппаратные средства
В настоящее время на российском рынке доминирует только один производитель подобного оборудования — компания ACELab, которая производит аппаратные средства для анализа, диагностики и восстановления жестких дисков (комплексы PC-3000 Express, PC-3000 Portable, PC-3000 UDMA, PC-3000 SAS), SSD накопителей (комплекс PC-3000 SSD), флеш-накопителей (комплекс PC-3000 Flash), RAID (комплексы PC-3000 Express RAID, PC-3000 UDMA RAID, PC-3000 SAS RAID). Доминирование ACELab на рынке аппаратных решений по восстановлению данных обусловлено высоким качеством вышеперечисленных продуктов и ценовой политикой ACELab, которая не позволяет конкурентам войти на этот рынок.
Открытое программное обеспечение
Autopsy — удобный инструмент для анализа компьютеров под управлением операционной системы Windows и мобильных устройств под управлением операционной системы Android. Имеет графический интерфейс. Может быть использован при расследовании компьютерных инцидентов.
Photorec — одна из лучших бесплатных программ для восстановления данных. Хорошая бесплатная альтернатива платным аналогам.
Eric Zimmerman Tools – комплект бесплатных утилит, каждая из которых позволяет исследовать какой-то отдельный артефакт Windows. Как показала практика, использование Eric Zimmerman Tools повышает эффективность работы специалиста при реагировании на инцидент в «полевых условиях». В настоящее время, эти утилиты доступны в виде пакета программ — Kroll Artifact Parser and Extractor (KAPE).
Мобильная криминалистика, программные средства
Наблюдая за развитием мобильной криминалистики, можно легко увидеть, что по мере развития функционала мобильных устройств происходило и развитие программ для их анализа. Если раньше лицо, производящее следствие, или иной заказчик довольствовались данными из телефонной книги, СМС, ММС, вызовами, графическими и видео-файлами, то сейчас специалиста просят извлечь большее количество данных. Кроме перечисленных, как правило, требуется извлечь:
«Мобильный Криминалист»: сегодня это одна из лучших программ для анализа данных, извлеченных из мобильных устройств. Если вы хотите извлечь максимальное количество данных из мобильного устройства, используйте эту программу. Интегрированные просмотрщики баз данных SQLite и plist-файлов позволят более досконально исследовать определенные SQLite-базы данных и plist-файлы вручную.
Изначально программа разрабатывалась для использования на компьютерах, поэтому использовать ее на нетбуке или планшете (устройствах с размером экрана 13 дюймов и менее) будет некомфортно.
Особенностью программы является жесткая привязка путей, по которым расположены файлы — базы данных приложений. То есть если структура базы данных какого-либо приложения осталась прежней, но изменился путь, по которому база данных находится в мобильном устройстве, «Мобильный Криминалист» просто пропустит такую базу данных в ходе анализа. Поэтому исследование подобных баз данных придется производить вручную, используя файловый браузер «Мобильного Криминалиста» и вспомогательные утилиты.
Результаты исследования мобильного устройства в программе Мобильный Криминалист:
Тенденцией последних лет является «смешение» функционала программ. Так, производители, традиционно занимавшиеся разработкой программ для мобильной криминалистики, внедряют в свои продукты функционал, позволяющий исследовать жесткие диски. Производители криминалистических программ, ориентированных на исследование жестких дисков, добавляют в них функционал, необходимый для исследования мобильных устройств. И те, и другие добавляют функционал по извлечению данных из облачных хранилищ и так далее. В итоге получаются универсальные «программы-комбайны», с помощью которых можно производить и анализ мобильных устройств, и анализ жестких дисков, и извлечение данных из облачных хранилищ, и аналитику данных, извлеченных из всех этих источников.
В нашем рейтинге программ для мобильной криминалистики именно такие программы занимают следующие два места: Magnet AXIOM — программа канадской компании Magnet Forensics, и Belkasoft Evidence Center — разработка питерской компании Belkasoft. Эти программы по своим функциональным возможностям в извлечении данных из мобильных устройств, конечно же, уступают программным и аппаратным средствам, описанным выше. Но они хорошо производят их анализ и могут использоваться для контроля полноты извлечения различных типов артефактов. Обе программы активно развиваются и стремительно наращивают свой функционал в части исследования мобильных устройств.
Окно выбора источника мобильных данных программы AXIOM:
Результаты исследования мобильного устройства программой Belkasoft Evidence Center:
Что такое расследование киберинцидентов
Чтобы задать тон беседе и определиться с терминами, ведущий предложил гостям студии рассказать, что включает в себя понятие «расследование инцидентов в ИБ».
Денис Гойденко:
— В моём понимании расследование инцидентов — это решение конкретных проблем, возникающих у заказчика. Если заказчик подозревает, что в рамках его инфраструктуры произошла некая нелегитимная активность, необходимо начать расследование или реагирование (эти два понятия на практике сильно связаны между собой).
Олег Скулкин:
— Одним из этапов жизненного цикла реагирования на инциденты является анализ и реконструкция атаки — это тоже можно назвать частью расследования. Тем не менее в нашем понимании расследование — это уже действия правоохранительных органов, когда собранные данные об инфраструктуре или инструментах атакующих используются для поиска злоумышленников.
Михаил Кондрашин:
— Долгое время индустрия информационной безопасности предлагала клиентам защиту от угроз, однако со временем стало понятно, что полностью предотвратить инциденты невозможно. Ключевой вопрос в этой ситуации — что делать, если инцидент произошёл. Ответом может быть широкий спектр действий — от выявления несоблюдения инструкций конкретным сотрудником до определения масштабной хакерской кампании и передачи материалов правоохранительным органам.
Михаил Прохоренко:
— Основная часть расследования связана с тем, чтобы реконструировать атаку и выяснить причину: как она произошла. Однако немаловажная составляющая, про которую иногда забывают, — это определение величины нанесённого ущерба. Так заказчик сможет понять, какие данные и системы были скомпрометированы, а также выработать меры реагирования на текущую атаку.
Константин Сапронов:
— Важно помнить, что основная цель процесса расследования — помочь компании закрыть уязвимость и построить свои процессы так, чтобы подобной атаки больше не повторилось. В этом состоит главная ценность этих действий для бизнеса.
Игорь Залевский:
— Вендоры начали предлагать продукты по защите, потому что инциденты происходили; это основа и смысл ИБ-инструментов любого уровня. Сейчас существует большой класс продуктов, которые облегчают расследование инцидентов, однако экспертные навыки специалистов по интерпретации собранных ими данных автоматизировать очень сложно.
Дмитрий Лифанов:
— Иногда расследование инициируется поскольку у заказчика есть подозрение, что произошел киберинцидент. В этом случае отсутствие результата расследования, то есть неподтверждение факта атаки, является лучшим итогом работы специалистов. Такие кейсы тоже иногда бывают.
Большинство зрителей прямого эфира проводят расследования инцидентов в своей организации — мы выяснили это в ходе традиционного опроса. Анализируют и разбирают ИБ-происшествия собственными силами или при помощи привлечённых специалистов 78 % опрошенных. Не ведут такой деятельности только 22 %.
Рисунок 1. Проводили ли вы в своей организации расследование инцидентов в ИБ?
Восстановление данных, программные средства
Несмотря на большое количество различных программ восстановления, как платных, так и бесплатных, очень трудно найти программу, которая бы корректно и полно производила восстановление различных типов файлов в разнообразных файловых системах. На сегодняшний день существуют только две программы, обладающие примерно одинаковым функционалом, которые позволяют это делать: R-Studio и UFS Explorer. Тысячи программ восстановления иных производителей либо не дотягивают по своим функциональным возможностям до указанных программ, либо существенно уступают им.
Мобильная криминалистика, аппаратные средства
Cellebrite UFED Touch 2 — продукт, изначально разрабатывавшийся для работы в полевых условиях. Концептуально разделен на две части:
· фирменный планшет Cellebrite UFED Touch 2 (или UFED 4PC — программный аналог Cellebrite UFED Touch 2, устанавливаемый на компьютер или ноутбук специалиста): используются только для извлечения данных
· UFED Physical Analyzer — программная часть, предназначенная для анализа данных, извлеченных из мобильных устройств.
Концепция использования оборудования предполагает, что с помощью Cellebrite UFED Touch 2 специалист извлекает данные в полевых условиях, а потом в лаборатории производит их анализ с помощью UFED Physical Analyzer. Соответственно, лабораторный вариант представляет собой два самостоятельных программных продукта — UFED 4PC и UFED Physical Analyzer — установленных на компьютере исследователя. На сегодняшний день этот комплекс обеспечивает извлечение данных из максимально возможного количества мобильных устройств. При проведении анализа часть данных может быть упущена программой UFED Physical Analyzer. Это происходит потому, что в новых версиях программы периодически всплывают старые баги, которые вроде бы как пофиксили, но потом они почему-то проявляются вновь. Поэтому рекомендуется проводить контроль полноты анализа данных, осуществленный программой UFED Physical Analyzer.
MSAB XRY / MSAB XRY Field — аналог продуктов Cellebrite, разрабатываемый шведской компанией Micro Systemation. В отличие от парадигмы Cellebrite, компания Micro Systemation предполагает, что в большинстве случаев их продукты будут использоваться на стационарных компьютерах или ноутбуках. К продаваемому продукту прилагается фирменный USB-хаб, называемый на сленге «шайба», и комплект переходников и дата-кабелей для подключения различных мобильных устройств. Компания также предлагает версии MSAB XRY Field и MSAB XRY Kiosk — аппаратные продукты, предназначенные для извлечения данных из мобильных устройств, реализованные в виде планшета и киоска. Данный продукт менее распространен на территории России, чем продукция Cellebrite. MSAB XRY хорошо зарекомендовал себя при извлечении данных из устаревших мобильных устройств.
С определенного момента стали пользоваться популярностью аппаратные решения для проведения chip-off (метод извлечения данных напрямую из чипов памяти мобильных устройств), разработанные польской компанией Rusolut. С помощью этого оборудования можно извлекать данные из поврежденных мобильных устройств или из устройств, заблокированных PIN-кодом или графическим паролем. Rusolut предлагает несколько наборов адаптеров для извлечения данных из определенных моделей мобильных устройств. Например, комплект адаптеров для извлечения данных из чипов памяти, преимущественно используемых в «китайских телефонах». Однако повсеместное использование производителями мобильных устройств шифрования пользовательских данных в топовых моделях привело к тому, что это оборудование постепенно теряет актуальность. Извлечь данные из чипа памяти с его помощью можно, но они будут в зашифрованном виде, а их расшифровка является нетривиальной задачей.
Выводы
Понимание схемы произошедшей атаки, методов проникновения и техник, использованных злоумышленниками, может помочь организации предотвратить аналогичные инциденты в будущем. Однако расследование в сфере кибербезопасности не ограничивается атрибуцией атаки: специализированные компании способны не только оказать содействие в работе с правоохранительными органами и помочь найти преступника, но и выявить его мотивы. Последнее особенно важно, поскольку незначительный на первый взгляд инцидент может быть лишь видимой частью большой целенаправленной кампании.
Для эффективного расследования ИБ-происшествий требуется целая команда специалистов, и далеко не каждая компания способна содержать её самостоятельно. Вместе с тем эффективное взаимодействие с сотрудниками заказчика может существенно облегчить анализ происшествия и определение виновных. К сожалению, в практике расследования киберинцидентов случаются и примеры противодействия работе внешней команды экспертов со стороны ИТ-службы.
Преимущества Лаборатории Group-IB
Наём компетентных специалистов в сфере компьютерной экспертизы и постоянное развитие их навыков — непростая задача. Эксперты Group-IB владеют передовыми технологиями киберразведки и готовы оказать комплексную поддержку вашей команде в любой точке мира.
Мы воссоздаем хронологию инцидента, помогаем определить использованные хакерами инструменты и установить степень причастности ваших сотрудников. Наша работа отвечает международным нормативным требованиям GDPR и CERT.
Мы поможем определить масштаб компрометации, выявить все зараженные устройства и очистить вашу сеть от вредоносного кода. Наша команда по реагированию предпримет необходимые меры, чтобы не допустить повторного заражения инфраструктуры.
Профессионалы с более чем 10-ти летним опытом работы осуществляют сбор доказательств с любых типов носителей, даже если данные были удалены, скрыты или зашифрованы. Мы находим цифровые следы, необходимые для дальнейшего расследования и поимки злоумышленников.
Криминалисты Group-IB, имеющие сертификаты GIAC в сфере компьютерной экспертизы и исследования вредоносного кода, сопровождают дело до вынесения приговора, помогая адвокатам, следователям и правоохранительным органам. Результаты наших экспертиз принимаются в иностранных судах.
Ведущие эксперты нашей Лаборатории компьютерной криминалистики делятся лучшими практиками в области кибербезопасности. Мы обучаем ваших специалистов по ИБ и повышаем уровень их подготовленности к реагированию на возможные атаки.
Вот так раньше выглядела одна из визиток Игоря Михайлова, специалиста Лаборатории компьютерной криминалистики Group-IB. На ней — аппаратные ключи программ, которыми пользовался эксперт при проведении криминалистических экспертиз. Стоимость только этих программных продуктов превышает 2 миллиона рублей, а ведь есть еще бесплатное программное обеспечение и другие коммерческие продукты. Какой инструментарий выбрать для работы? Специально для читателей «Хабра» Игорь Михайлов решил рассказать о лучших программных и аппаратных средствах для компьютерной криминалистики.
Автор — Игорь Михайлов, специалист Лаборатории компьютерной криминалистики Group-IB.
Компьютерная криминалистика, аппаратные блокираторы записи
Tableau T35U — аппаратный блокиратор компании Tableau, позволяющий безопасно подключать исследуемые жесткие диски к компьютеру исследователя по шине USB3. Данный блокиратор имеет разъемы, позволяющие подключать к нему жесткие диски по интерфейсам IDE и SATA (а при наличии переходников и жесткие диски с другими типами интерфейсов). Особенностью этого блокиратора является возможность эмуляции операций «чтение—запись». Это бывает полезным при исследовании накопителей, зараженных вредоносным программным обеспечением.
Оба блокиратора записи в качестве основного подключения используют подключение к компьютеру исследователя по шине USB3, что обеспечивает комфортные условия работы исследователя при клонировании и анализе носителей информации.
Команда профессионалов
Надежная команда экспертов, к которым вы можете обратиться по любому вопросу – будь то разовая консультация, помощь в проведении расследования или подготовка доказательной базы для суда.
Дистрибутивы на основе Linux
SIFT — Linux-дистрибутив, разработанный и поддерживаемый коммерческой организацией SANS Institute, которая специализирующаяся на обучении специалистов в области кибербезопасности и расследовании инцидентов. SIFT содержит большое количество актуальных версий бесплатных программ, которые могут быть использованы как для извлечения данных из различных источников, так и для их анализа. SIFT используется в рамках проводимых компанией обучений, и его содержимое постоянно актуализируется. Удобство работы определяется конкретным инструментом, находящемся в данном дистрибутиве, с которым приходится работать исследователю.
Kali Linux – уникальный Linux-дистрибутив, который используется специалистами как для проведения аудита безопасности, так и для проведения расследований. В 2017 году издательство «Packt Publishing» опубликовало книгу Шива В.Н. Парасрама (Shiva V. N Parasram) «Digital Forensics with Kali Linux». В данной книге приводятся советы о том, как проводить копирование, исследование и анализ компьютеров, отдельных накопителей, копий данных из оперативной памяти и сетевого траффика с помощью утилит, входящих в этот комплект.
Введение
- Михаил Прохоренко, руководитель группы реагирования компании BI.ZONE.
- Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии.
- Дмитрий Лифанов, ведущий аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».
- Олег Скулкин, заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода, компания Group-IB.
- Денис Гойденко, руководитель отдела реагирования на угрозы ИБ, компания Positive Technologies.
- Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар».
- Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского».
Ведущий и модератор дискуссии: Сергей Рысин, главный специалист по защите информации департамента специальных проектов компании HeadHunter.
Чемоданчик киберкриминалиста
Компьютерная экспертиза исследует большое количество разнообразных цифровых устройств и источников данных. В ходе исследований могут использоваться как программные, так и аппаратные средства — многие из них стоят недешево. Не каждая компания, а тем более отдельный специалист, могут позволить себе подобные расходы. Мы, в Group-IB, не экономим на инструментах, что позволяет проводить исследования качественно и оперативно.
Естественно, список программ, находящихся в моем рейтинге, отличается от общемирового. Это обусловлено как региональными особенностями — например, часть зарубежных программ не умеют извлекать данные из российских мессенджеров, да и вообще с русским языком не дружат (в поисковых задачах) — так и экспортными ограничениями, из-за которых российские специалисты не имеют возможности использовать весь мировой арсенал подобных средств.
О компании
За 18 лет работы мы стремительно выросли до одной из ведущих международных компаний по предотвращению и расследованию киберпреступлений, высоко ориентированной на достижение результата. Мы находим преступников по цифровым следам и формируем доказательную базу, востребованную как в российских, так и иностранных судах.
Благодаря нашей обширной базе данных и собственным технологическим разработкам мы успешно расследуем самые сложные инциденты ИБ, требующие высокого качества экспертизы.
Валерий Баулин Руководитель департамента сервисов по кибербезопасноти
Многоуровневый анализ
Использование высокотехнологичной системы Threat Intelligence & Attribution для более глубокого анализа цифровых доказательств с целью выявления и предотвращения угроз на этапе подготовки инфраструктуры атаки.
Как расследуют инциденты в сфере информационной безопасности
Спикеры конференции подчеркнули, что, говоря о расследовании киберинцидентов, следует выделять две сферы деятельности — непосредственно атрибуцию атаки, т. е. понимание того, как и с помощью каких средств она была проведена, и юридическое сопровождение инцидента, которое включает в себя поиск злоумышленника и работу с правоохранительными органами. Как отметили наши эксперты, заказчик в первую очередь заинтересован в предотвращении подобных атак в будущем, поэтому главную ценность для бизнеса представляет именно коммерческое расследование инцидента.
Вместе с тем, например, когда речь идёт об атаке через инсайдера, важно найти лиц причастных к инциденту и принять по отношению к ним необходимые меры. Такую услугу оказывают не все компании, занимающиеся расследованием киберинцидентов. Юридическое сопровождение может стоить значительно дороже обычного, «технического» расследования.
Может ли заказчик провести расследование киберинцидента самостоятельно — без привлечения сторонних специалистов? По мнению наших экспертов, клиент обладающий достаточно зрелыми службами ИБ и ИТ способен взять на себя часть работы по расследованию происшествия. Проблема в том, что в процессе анализа инцидента заказчик, скорее всего, столкнётся с необходимостью привлечения «узкого» специалиста, держать которого в штате невыгодно. Провайдеры специализированных услуг имеют возможность комплектовать всесторонне подготовленные команды расследователей как из сотрудников, так и из сторонних специалистов.
У 41 % компаний, чьи представители наблюдали за прямым эфиром конференции AM Live, есть выделенная команда специалистов, занимающаяся расследованиями киберинцидентов. Ещё 29 % опрошенных собирают такую группу из сотрудников разных отделов при необходимости. Не имеют собственных ресурсов для расследования инцидентов 30 % участников опроса.
Рисунок 2. Есть ли у вашей компании своя команда, занимающаяся расследованиями?
Как собрать необходимую для расследования информацию и не парализовать работу компании? Мы уже писали о практике этого процесса. Гости студии обратили внимание, что при проведении расследования важно правильно построить взаимодействие с командой специалистов заказчика. Компетентные сотрудники клиента, которые понимают, как работает инфраструктура, могут частично или полностью взять на себя функцию сбора необходимых данных и не нарушить при этом бизнес-процессы. Поставщик услуг должен лишь правильно поставить задачу: какие данные и с каких объектов инфраструктуры необходимо собрать.
Эксперты подчеркнули, что значительное влияние на работу заказчика может оказать реагирование на ещё продолжающуюся атаку — этап «изгнания» злоумышленника из сети. Однако если расследование проведено грамотно, то остановка бизнеса будет кратковременной.
В студии развернулась оживлённая дискуссия по вопросу о том, можно ли автоматизировать процесс расследования, отдав его специализированным системам. Некоторые эксперты утверждали, что при правильном подборе продуктов «живые» специалисты могут потребоваться только в крайнем случае, для разбора наиболее сложных случаев. Другая часть наших гостей не согласилась с таким подходом, утверждая, что интерпретация собранных в автоматическом режиме данных должна оставаться за специалистом.
Компьютерная криминалистика, программные средства
Старички для нестандартных ситуаций
15 лет назад бесспорными лидерами компьютерной экспертизы являлись программы Encase Forensics и AccessData FTK. Их функционал естественным образом дополнял друг друга и позволял извлекать максимальное количество различных типов артефактов из исследуемых устройств. В наши дни эти проекты являются аутсайдерами рынка. Текущая функциональность Encase Forensics значительно отстает от предъявляемых сегодня требований к программному обеспечению для исследования компьютеров и серверов под управлением Windows. Использование Encase Forensics остается актуальным в «нестандартных» случаях: когда надо исследовать компьютеры под управлением OC MacOS или сервера под управлением ОС Linux, извлекать данные из файлов редких форматов. Встроенный в Encase Forensics макроязык Ensripts содержит огромную библиотеку готовых скриптов, реализованных производителем и энтузиастами: с помощью них возможен анализ большого числа различных операционных и файловых систем.
AccessData FTK пытается поддерживать функционал продукта на необходимом уровне, но время обработки накопителей им значительно превышает разумное количество времени, которое может позволить себе потратить среднестатистический специалист на подобное исследование.
Особенности AccessData FTK:
- поиск по ключевым словам, реализованный на очень высоком уровне
- аналитика различных кейсов, позволяющая выявлять взаимосвязи в устройствах, изъятых по разным делам
- возможность настройки интерфейса программы под себя
- поддержка файлов редких форматов (например, баз данных Lotus Notes)
Молодые и растущие
Бесспорным лидером программных средств для компьютерной криминалистики является Magnet Axiom. Программа не просто постепенно развивается, а покрывает добавляющимся функционалом целые сегменты: исследование мобильных устройств, извлечение из облачных хранилищ, исследование устройств под управлением операционной системы MacOS и так далее. Программа имеет удобный и функциональный интерфейс, в котором все под рукой, и может применяться для расследования инцидентов информационной безопасности, связанных с заражением компьютеров или мобильных устройств вредоносным программным обеспечением или с утечками данных.
Российским аналогом Magnet AXIOM является Belkasoft Evidence Center. Belkasoft Evidence Center позволяет извлекать и анализировать данные из мобильных устройств, облачных хранилищ и жестких дисков. При анализе жестких дисков доступно извлечение данных из веб-браузеров, чатов, информации об облачных сервисах, детектирование зашифрованных файлов и разделов, извлечение файлов по заданному расширению, данных о геолокации, электронной почты, данных из платежных систем и социальных сетей, миниатюр, системных файлов, системных журналов и так далее. Имеет гибкий настраиваемый функционал по извлечению удаленных данных.
- широкий спектр артефактов, извлекаемых из различных носителей информации
- хороший встроенный просмотрщик баз данных SQLite
- сбор данных с удаленных компьютеров и серверов
- интегрированный функционал по проверке обнаруженных файлов на Virustotal
Недостатками программы являются неудобный интерфейс и неочевидность выполнения отдельных действий в программе. Для эффективного использования программы необходимо пройти соответствующее обучение.
Основное окно программы Belkasoft Evidence Center, отображающее статистику найденных криминалистических артефактов при исследовании конкретного устройства:
Постепенно российский рынок завоевывает X-Ways Forensics. Эта программа — швейцарский нож компьютерной криминалистики. Универсальная, точная, надежная и компактная. Особенностью программы является большая скорость обработки данных (по сравнению с другими программами этой категории) и оптимальный функционал, покрывающий основные потребности специалиста по компьютерной криминалистике. Программа имеет встроенный механизм, позволяющий минимизировать ложноположительные результаты. То есть исследователь, проводя восстановление файлов с жесткого диска объемом 100 Гб, видит не 1 Тб восстановленных файлов (большая часть из которых является ложноположительным результатами, как это обычно происходит при использовании программ восстановления), а именно те файлы, которые реально были восстановлены.
С помощью X-Ways Forensics можно:
- находить и анализировать данные электронной почты
- анализировать историю веб-браузеров, журналы ОС Windows и прочие системные артефакты
- отфильтровать результаты, избавиться от ненужного, оставить только ценное и актуальное
- построить временную шкалу и посмотреть активности в интересующий период
- реконструировать рэйды (RAID)
- монтировать виртуальные диски
- осуществлять проверку на наличие вредоносного программного обеспечения
Недостатки X-Ways Forensics:
- аскетичный интерфейс
- отсутствие полноценного встроенного просмотрщика баз данных SQLite
- необходимость глубокого изучения программы: выполнение некоторых действий, необходимых для получения нужного специалисту результата, не всегда очевидно
Подведем итог
Это исследование является результатом моего эмпирического опыта работы с описанным аппаратным и программным обеспечением, применяемых в ходе криминалистического исследования компьютерной техники и мобильных устройств. Надеюсь, что изложенные сведения будут полезны специалистам, планирующим приобретать программы и аппаратные средства для проведения компьютерной криминалистики и расследования инцидентов.
В Group-IB знают о киберпреступности всё, но рассказывают самое интересное.
Компания Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества и защиты интеллектуальной собственности в сети со штаб-квартирой в Сингапуре.
С целью оптимизации и стандартизации любой деятельности используется классификация ( типизация ), и процесс управления инцидентами информационной безопасности ( ИБ ) не является исключением.
В данной заметке речь пойдет о существующих подходах к классификации инцидентов ИБ. Ведь в зависимости от того, к какому классу/типу относится инцидент ИБ, будет зависеть и вариант реагирования на него.
- ISO/IEC 27035:2011 «Information technology — Security techniques — Information security incident management» ( ссылка );
- ISO/IEC 27035-2:2016 «Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response» ( ссылка );
- Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах ( ссылка );
- Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236 ( ссылка ).
Он, безусловно, не претендует на абсолютную вложенность, т.к. авторы данных документов в рамках одного класса закладывали совершено различные пояснения и примеры, например: у ENISA «Information Gathering» включает в себя и «Scanning», и «Sniffing», и «Social engineering», а у NIST «Scanning» относится к «Technical attack incident», а остальные к «Compromise of information incident», в то время как у НКЦКИ «Прослушивание (захват) сетевого трафика» и «Социальная инженерия» – это отдельные типы, а «Сканирование информационного ресурса (ОКИИ)» вообще не рассматривается как класс инцидента ИБ.
Если оставить за рамками стихийные бедствия, беспорядки и т.п. глобальные инциденты, точнее инциденты, чья сущность лежит за рамками информационных технологий, то самым полным выглядит перечень от НКЦКИ:
Кто-то пытался украсть ваши конфиденциальные данные или зашифровать серверы, но как именно злоумышленники проникли в сеть? Практика расследования киберинцидентов (форензика) не только включает в себя определение вектора вредоносных действий и поиск преступника или инсайдера, но и может раскрыть кампанию APT-группировки (Advanced Persistent Threat, целевая атака).
Услуги Лаборатории компьютерной криминалистики
Криминалистические исследования
Использование мобильных криминалистических комплексов для корректного изъятия и копирования информации для проведения дальнейшего расследования
Использование мобильных криминалистических комплексов для корректного изъятия и копирования информации для проведения дальнейшего расследования
Преимущества криминалистических исследований Group-IB:
- Точность и полнота выводов. Обширный арсенал новейших программных решений позволяет нам извлекать максимум полезной информации, а многолетний опыт расследования киберпреступлений — исчерпывающе и точно интерпретировать собранные улики.
- Юридическая значимость заключений. Заключения специалистов нашей лаборатории гарантированно принимаются правоохранительными органами и судебными инстанциями в качестве доказательств при проведении гражданского, административного и уголовного судопроизводства.
- Оперативность результата. Благодаря современному специализированному оборудованию Group-IB, все исследования проводятся точно в сроки, оговоренные при передаче материалов на анализ.
Исследование вредоносных программ
Уникальные инструменты для выявления вредоносных программ и следов их активности, в том числе среди удаленных и зашифрованных данных
Уникальные инструменты для выявления вредоносных программ и следов их активности, в том числе среди удаленных и зашифрованных данных
Group-IB Высокотехнологичные инструменты позволяют нашей Лаборатории оказывать уникальную для России услугу — поиск вредоносного ПО на уровне прошивки жесткого диска. Такое исследование позволяет выявить скрытые подразделы, в которых опасная программа может пережить форматирование и другие традиционные методы очистки диска.
Мы имеем возможность исследовать вредоносные коды с учетом особых требований конфиденциальности, в том числе блокируя любые сетевые взаимодействия программы. Вы получите исчерпывающий диагноз и рекомендации по дальнейшим шагам, не подвергая себя дополнительным рискам.
Сбор цифровых доказательств
Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования и возбуждения дел в суде
Корректно собранная и оформленная доказательная база — это фундамент, на котором строятся все дальнейшие этапы расследования и возбуждения дел в суде
20% самостоятельных расследований «разваливаются» на этапе взаимодействия с правоохранительными органами ввиду ошибок при сборе и оформлении цифровых доказательств.
- Оперативно выезжают на место инцидента для консультации
- Определяют источники хранения доказательной базы
- Собирают и оформляют доказательства в соответствии с законодательными требованиями
- Формируют пакет документов, необходимых для корректного представления доказательств
- Консультируют уполномоченных представителей о мерах по остановке инцидента и снижению ущерба
Прогнозы развития и тенденции рынка расследования инцидентов в ИБ
Что ждёт индустрию расследования инцидентов в ближайшие годы? Мы попросили экспертов дать свой прогноз с горизонтом в 3–5 лет. Специалисты отметили возрастающую роль автоматизации в процессах расследования ИБ-происшествий. Специализированные системы смогут получать информацию от большего количества источников, станут активно использовать машинное обучение, научатся взаимодействовать с различными информационными средами. При этом роль человека в расследовании по-прежнему будет значительной. Как отметили гости студии, средства защиты, за которыми никто не смотрит, неэффективны против атак управляемых людьми.
Оказывает ли государство поддержку в процессе расследования киберинцидентов? Существуют ли на этом уровне какие-либо инициативы, призванные облегчить взаимодействие игроков рынка информационной безопасности и правоохранительных органов? Эксперты подчеркнули, что у бизнеса существует настороженное отношение к государству, действия которого нередко затрудняют расследование. При этом наблюдается положительная динамика в работе правоохранительных органов, особенно в сфере межгосударственного взаимодействия при раскрытии киберпреступлений.
Ещё одна функция государственных органов — просветительская. Через нормативные акты регуляторы могут объяснить важность проведения расследований, что значительно облегчает работу специалистов по информационной безопасности с государственными предприятиями.
Традиционный опрос зрителей перед завершением эфира показал, что дискуссия была полезной и продуктивной. Так, 38 % опрошенных будут теперь чаще проводить расследования, ещё 36 % сообщили, что заинтересовались темой и в случае выявления киберинцидента проведут его анализ. Поменять поставщика специализированных услуг по итогам нашего эфира решили 7 % зрителей.
Считают тему расследования инцидентов ИБ интересной, но пока избыточной для своей компании 13 % участников опроса. Сочли аргументы участников дискуссии неубедительными 2 % респондентов, а ещё 4 % вообще не поняли, о чём шла речь во время прямого эфира.
Рисунок 5. Каково ваше мнение относительно расследования компьютерных инцидентов после эфира?
Практические вопросы расследования киберинцидентов
Ведущий поинтересовался у спикеров: кто, по результатам расследований, чаще всего стоит за инцидентом? Как оказалось, наибольшее число ИБ-происшествий приходится на долю организованной киберпреступности, которая интересуется в первую очередь коммерческими компаниями. Если же говорить о государственных заказчиках, то их чаще всего атакуют APT-группировки. При этом зачастую о квалификации злоумышленника можно судить только по косвенным признакам — сложности используемых инструментов, применяемым методам и другим факторам.
Заказчику важно знать, кто стоит за инцидентом, чтобы понимать, какие последствия он может принести. Является ли происшествие «верхушкой айсберга», которая откроет масштабную кампанию против организации, или же это — единичный случай, ставший результатом случайного стечения обстоятельств? Методы реагирования также зависят от целей атакующих.
Мы спросили зрителей прямого эфира: каковы, по их мнению, цели у процесса расследования инцидентов в ИБ? Значительная часть респондентов (40 %) считают, что главное — выявить, как произошёл инцидент. Сбор доказательной базы по происшествию назвали основной целью 5 % респондентов, а оценку ущерба — лишь 4 %. Поиск виновного собственными силами или через правоохранительные органы ставят целью расследования 2 % участников опроса. Однако наибольшее число голосов — 46 % — набрал «комплексный» вариант, включающий все вышеперечисленные факторы. Затруднились с ответом 3 % наших зрителей.
Рисунок 3. Каковы, на ваш взгляд, основные цели расследования инцидентов в ИБ?
По просьбе ведущего эксперты назвали типы атак, с которыми им приходится чаще всего сталкиваться при расследованиях:
- Шифровальщики / вымогатели (ransomware) — мы рассказывали, как восстановить картину атаки таких программ. . . .
Ведущий прямого эфира задал вопрос: какие особенности существуют при расследовании инцидентов в облачной среде? Спикеры отметили, что получение логов от облачного провайдера обычно затруднено. Многие операторы вообще выдают подобную информацию только по запросам правоохранительных органов. Как подчеркнули эксперты AM Live, даже взаимодействие со службой поддержки облачного провайдера может представлять сложность для заказчика, поскольку необходимо правильно формировать запрос, разговаривать с оператором «на одном языке».
С другой стороны, получить образ хоста от облачного провайдера зачастую даже проще, чем при работе с собственным сервером. Как отметили спикеры в студии, такие функциональные возможности предусмотрены у большинства крупных провайдеров. Аналогичные возможности имеют, например, почтовые системы. Специалисты рекомендуют ещё на стадии размещения информации в облаке обсудить с провайдером настройки аудита и логирования, включить эти функции в список предоставляемых услуг.
В процессе расследования сторонние специалисты нередко сталкиваются с противодействием ИТ-подразделения заказчика. Это может быть связано как с попыткой скрыть недостатки в безопасности инфраструктуры, так и с соучастием сотрудников в атаке. Как отметили наши эксперты, ИТ-служба может либо активно помогать расследованию, либо сильно мешать его ходу. Гости студии привели примеры, когда в попытках «замести следы» сотрудники заказчика пытались удалить логи, отключить удалённый доступ и даже проглотить флешку с данными.
Большинство зрителей, наблюдавших за прямым эфиром конференции, готовы доверить сторонней организации расследование киберинцидентов в своей компании. Об этом заявили 78 % участников нашего опроса. Предпочитают обходиться безо внешнего вмешательства в этом вопросе 22 % респондентов.
Рисунок 4. Вы готовы доверить расследование инцидента в ИБ внешней компании?
Читайте также: