Расследование инцидентов

Расследование инцидентов информационной безопасности —услуга она способствует выявлению лиц, виновных в совершении инцидента, и обеспечивает неотвратимую ответственность злоумышленников за совершенные правонарушения.

Специалисты CS-CARAT выполняют следующий спектр работ, связанных с расследованием инцидентов:

  • Восстановление хронологии событий

  • Выявление причин произошедшего инцидента

  • Составление рекомендаций по предотвращению подобных инцидентов

  • Юридическое сопровождение

Для выявления лиц, причастных к инциденту, CS-CARAT использует уникальные ресурсы как на территории России, так и за рубежом. Распределенная сеть ловушек HoneyNet, тесные связи с организациями, занимающимися расследованиями в других странах, и уникальные навыки специалистов — все это позволяет устанавливать лиц, причастных к инциденту, максимально точно и быстро. Именно поэтому наши услуги используют различные организации, в том числе государственные структуры.

 

Успешным результатом расследования является установление лиц, причастных к инциденту, и их фактического местонахождения.

По завершении всех работ заказчику предоставляется комплексный отчет, содержащий:

  • Восстановленную хронологию событий

  • Подробное описание этапов расследования с подтверждающими материалами

  • Идентификационные данные лиц, причастных к инциденту

  • Фактическую информацию по их местонахождению

  • Рекомендации по предотвращению подобных инцидентов

  • Рекомендации по дальнейшему правовому преследованию злоумышленников

По итогам расследования заказчик может воспользоваться юридической поддержкой по правовому преследованию установленных злоумышленников. Мы всегда рекомендуем воспользоваться услугами юридического сопровождения расследования инцидентов информационной безопасности. Это обеспечивает неотвратимую ответственность злоумышленников за совершенные правонарушения и высокую вероятность возмещения ущерба, тем самым существенно снижая финансовые и репутационные риски.

 

Любое расследование инцидентов требует индивидуального подхода, хотя цель общая — идентифицировать злоумышленников с последующим привлечением к ответственности. В результате оказания нашими экспертами услуги по расследованию инцидентов информационной безопасности вы получите:

  • Возможность компенсации нанесенного ущерба. Компенсировать полученный ущерб можно только тогда, когда известен злоумышленник. Основная цель услуги расследования как раз заключается в поиске нарушителя и установлении его местонахождения с последующим привлечением к ответственности.

  • Восстановление справедливости и репутации. Идентификация злоумышленников позволяет привлечь их к ответственности. И, как следствие, восстановить справедливость и собственную репутацию в глазах партнеров и конкурентов.

  • Укрепление собственного имиджа. Привлечение злоумышленников к ответственности делает ваши ресурсы непривлекательными целями атак. А ваши партнеры будут знать, что вы готовы защитить и свои, и их интересы.

  • Снижение издержек на собственное расследование. Некорректно собранные доказательства, ложные предварительные выводы, неверно оформленные документы и неправильное обращение в правоохранительные органы ведут к росту издержек и потере драгоценного времени. Привлечение независимой команды профессионалов позволяет вам избежать критичных ошибок, которые случаются при проведении расследований собственными силами.

  • Независимость и достоверность полученных данных. Уникальные методики, актуальные базы данных и знание специфики компьютерных преступлений обеспечивает оперативность и полноту получения достоверных данных о злоумышленниках. Привлечение независимых специалистов обеспечит вам достоверность данных даже в тех случаях, когда в инцидент вовлечены внутренние сотрудники.

  • Корректно оформленные материалы. Полученные в ходе расследования данные оформляются в соответствии со всеми требованиями существующего законодательства. Это гарантирует, что полученная доказательная база будет рассмотрена и принята как правоохранительными, так и судебными органами.

 

Почему стоит проводить расследование?

  • Инцидент — это нарушение штатной деятельности какого-либо процесса в организации, которое несет определенный ущерб. Выявление причины возникновения инцидента — главная цель проведения расследования. Зная причину и источник, организация может защитить себя от повторения инцидента в будущем.

Какова стоимость расследования?

  • Стоимость расследования варьируется от типа инцидента и его сложности. На стоимости расследования отражается количество исследуемых узлов, время, прошедшее с момента инцидента, удаленность офиса заказчика и др.

Какие самые частые ошибки при реагировании на инцидент?

  • Основной ошибкой является внесение изменений в состояние систем после инцидента. При сборе доказательств необходимо помнить о важности сохранения максимального количества улик для дальнейшего анализа.

Как оперативно приезжают специалисты из CS-CARAT?

  • Если инцидент произошел в пределах Ростова-на-Дону или Ростовской области, то группа реагирования готова к выезду в течение 30 минут с момента поступления сообщения об инциденте. Если Ваш офис находится за пределами Ростовской области, то время и условия выезда оговаривается отдельно.Если компания подписана на одну из программ поддержки, то выезд осуществляется немедленно. До прибытия наших специалистов ведутся консультации по минимизации ущерба и сохранению необходимой информации.

Сколько может длиться расследование?

  • Длительность проведения расследования зависит от многих факторов. Во-первых, важную роль играет количество времени, прошедшее с момента инцидента. Чем больше времени прошло, тем меньше доказательств осталось, соответственно тем сложнее их найти. Во-вторых, многое зависит от объема той информации, которую необходимо проанализировать. Исследование каждого криминалистического образа компьютера, в зависимости от его объема, может занимать от 1,5 суток до недели. В-третьих, существенную роль играет содействие со стороны персонала Заказчика. Чем оперативней заказчик выполняет наши просьбы и рекомендации, тем быстрее будет достигнут результат. Чаще всего расследование длится от недели до месяца.

Как часто в инциденте замешаны внутренние работники компании?

  • Наш опыт показывает, что инцидент, так или иначе, связан с инсайдом в 65% случаев. При этом не обязательно, что сотрудник компании напрямую замешен в произошедшем, он мог просто по неосторожности раскрыть какие-либо важные сведения. Вероятность участия внутреннего работника серьезно возрастает, если инцидент связан с финансовым мошенничеством или кражей конфиденциальной информации.

Дает ли CS-CARAT рекомендации по предотвращению подобных инцидентов в будущем?

  • Да, конечно. По завершению расследования специалистами CS-CARAT готовится план мероприятий по устранению угроз и уязвимостей, которые повлекли данный инцидент и могут повлечь другие. Эти рекомендации основаны на лучших отечественных и международных практиках обеспечения информационной безопасности, нашем опыте и знаниях, полученных об ИТ-инфраструктуре. Также, своим клиентам мы предлагаем наши программы поддержки, которые включают в себя не только реагирование на инциденты, но и комплекс дополнительных работ по усилению инфраструктуры для противостояния как внутренним, так и внешним угрозам, установку систем предотвращения вторжений, настройку систем логирования, регулярный аудит информационной безопасности и тесты на проникновение.

Расследование инцидентов для служб безопасности

  1. Почему служба информационной безопасности не всегда может провести расследование самостоятельно?

    • На наш взгляд, существуют две основные предпосылки для привлечения сторонних специалистов. Во-первых, это возможная некомпетентность работников службы безопасности в вопросах реагирования на инциденты, проведения расследования и юридических аспектах. Для эффективного проведения расследования работник должен знать и иметь опыт применения лучших международных и отечественных практик в данной области, это касается методик и инструментов оценки произошедшего, сбора необходимых улик, их анализа, восстановления хронологии событий, устранения последствий и предотвращения повторных инцидентов. Чтобы выполнять эту работу качественно и в срок, необходима постоянная практика и повышение квалификации. К сожалению, не каждая организация готова выделять достаточный объем средств, на содержание команды по реагированию на инциденты.Во-вторых, учитывая разнообразие инцидентов, нельзя исключать возможность участия в них работников службы информационной безопасности в них. В таких случаях вряд ли стоит надеяться на объективность проведенного расследования, особенно, если работники службы ИБ являются главными виновниками произошедшего.

  2. Как происходит взаимодействие службы информационной безопасности и CS-CARAT?

    • При проведении расследования в незнакомой инфраструктуре невозможно сделать это качественно и быстро без активного участия обеих сторон. Никто не знает всех деталей и особенностей сети лучше, чем работники отдела администрирования и службы безопасности. Эти знания особенно полезны, когда необходимо разобраться с причинами инцидента, собрать необходимую для расследования информацию.Также, от служб безопасности зависит регламент получения нашими специалистами доступа к информации для сбора доказательной базы.

  3. Есть ли рекомендации международных стандартов по информационной безопасности о проведении расследований?

    • Существует целый ряд международных и отечественных стандартов, которые, так или иначе, затрагивают процесс управления инцидентами. Часть этих стандартов является общеприменимой, как например стандарты ISO/IEC 27001, ISO/IEC 27002, и их отечественные варианты ГОСТ 27001 и ГОСТ 17799; другие являются отраслевыми, например Стандарт ЦБ РФ СТО БР ИББС-1.0, третьи предназначены непосредственно для групп по реагированию на инциденты (например, NIST SP800-61 Computer Security Incident Handling Guide). Общей рекомендацией всех этих стандартов является проведение любых работ, связанных с расследованием, только квалифицированными специалистами, во избежание искажений или утери доказательств.

  4. Как происходит работа по расследованию инцидента?

    • Обычно расследование инцидента состоит из следующих этапов:

      • Оперативное реагирование и предварительный сбор информации. На этом этапе наши специалисты получают и формируют первоначальное представление об инциденте: затронутые информационные системы и сегменты сети, задействованные лица, последствия инцидента, возможные источники. Сбор данной информации ведется при непосредственном участии работников компании, в которой произошел инцидент.

      • Сбор улик. Специалистами CS-CARAT производится сбор необходимых улик в соответствии с требованиями лучших мировых практик и отечественного законодательства. В ходе данных работ происходит съем образов с систем, задействованных в инциденте, также собираются журналы событий с сетевых устройств, межсетевых экранов, шлюзов, систем IDS/IPS и др.

      • Анализ собранных улик. На этом этапе происходит анализ данных, собранных на предыдущем этапе. Извлекается и документируется вся информация, которая имеет отношение к инциденту. Восстанавливается хронология событий, повлекших инцидент, а также лиц, связанных с инцидентом.

      • Подготовка отчета. Эксперты CS-CARAT составляют отчет, описывающий инцидент, указывают его причины и дают рекомендации по предотвращению подобных инцидентов в дальнейшем.

  5. Какими навыками должен обладать эксперт по расследованию инцидентов информационной безопасности?

    • Пожалуй, самое главное, чтобы эксперт по расследованию инцидентов был настоящим профессионалом своего дела. Он должен обладать не только богатыми теоретическими знаниями о компьютерной криминалистике, сетевых технологиях, программных продуктах и хакерских приемах, но и должен уметь применять эти знания на практике. Очень важно, чтобы эксперт был стрессоустойчив, ответственен, порядочен и целеустремлен.

  6. Что надо делать, если произошел инцидент информационной безопасности?

    • Прежде всего, не стоит поддаваться панике. Необходимо попытаться понять, действительно ли это инцидент? Если да, то затем, по возможности, необходимо определить его масштаб и серьезность. После того как Вы определили уровень инцидента, необходимо разработать план реагирования на него. Во-первых, необходимо изолировать зону инцидента от остальной ИТ-инфраструктуры, это позволит предотвратить его дальнейшее распространение. Во-вторых, необходимо максимально бережно сохранять любые улики, которые позволят изучить данное происшествие. К уликам можно отнести: протоколы доступа, состояние серверов и рабочих станций, следы вирусных заражений и т.д. В-третьих, совместно со всеми заинтересованными лицами составить план восстановления после инцидента. В-четвертых, необходимо провести расследование причин происшествия и определить виновников. Понимание причин позволит предотвратить повторение подобных инцидентов в дальнейшем. Не все организации способны самостоятельно пройти по всем этим этапам, в таких случаях необходимо обратиться либо к специалистам нашей компании, либо в правоохранительные органы, если причины возникновения инцидента являются нарушением закона.

  7. С кем сотрудничает ваша компания при проведении расследования?

    • Группа информационной безопасности сотрудничает с правоохранительными органами, провайдерами телекоммуникационных услуг и услуг связи, с детективными агентствами, международными организациями по борьбе с мошенничествами и компьютерными преступлениями.