Рубрика:
БИТ. Бизнес & Информационные технологии /
Безопасность
|
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|
СЕРГЕЙ КЛЕВОГИН, преподаватель Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э.Баумана, MCT. Certified Ethical Hacker, Certified EC-Council Instructor
Как расследовать компьютерные инциденты?
Важно знать пять элементов для успеха в борьбе с хакерами
В последнее время значительно повысились активность хакеров и соответственно число инцидентов компьютерной безопасности. Можно по-разному считать инциденты, но тенденция очевидна: их количество растет. Вот, к примеру, диаграмма с сайта DataLossDB (http://datalossdb.org/statistics) (см. рис. 1). По ней можно оценить, как изменилась ситуация с момента написания статьи.
Рисунок 1. Количество инцидентов информационной безопасности
Реальные примеры инцидентов информационной безопасности легко найти на новостных сайтах. Например, на сайте eSecurityPlanet заметно, что в день происходит примерно по пять серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H. Как мы видим, в день подвергается дефейсу несколько десятков сайтов.
Предприятия, имеющие ИТ-инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов, прежде всего усиливая безопасность своей информационной системы посредством применений технологий защиты и проведением внутренних проверок. Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, однако это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов – предварительную подготовку к ним.
Как именно проводить расследование инцидентов? Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ-безопасности, и найти там рекомендации о проведении расследования компьютерных инцидентов.
Процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!
Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.
Такой курс есть. Он предложен организацией EC-Council, чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024. И этот курс предлагается в авторизованном EC-Council Центре компьютерного обучения «Специалист» как продолжение курса по этичному хакингу и тестированию на проникновение.
В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Приведу пять элементов расследования компьютерных инцидентов, изучаемых на курсе.
Первый элемент. Что взломано?
Важно определить: какая именно система пострадала в результате инцидента; какой именно сервис был скомпрометирован; какие именно данные были скомпрометированы.
Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.
- Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени. Это могут быть временные файлы, cookies, но не только.
- Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния.
- В-третьих, нужно научиться анализировать процессы, в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов.
- В-четвертых, процессы используют хранилище пара-метров, реестр, его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра.
- В-пятых, все процессы выполняются в памяти, поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.
Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.
Второй элемент. Посредством чего взломано?
Важно определить: была ли ошибка в конфигурации; была ли ошибка в приложении; была ли ошибка в системе; была ли ошибка в протоколе.
Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.
Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого необходимо понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а разные платформы могут использовать разные форматы журналов.
Третий элемент. Кто взломал?
Важно определить: через какую систему произошло вторжение; какова была конечная цель атаки; с какого компьютера началась атака.
Пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из уже cобранной информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиафайл.
Четвертый элемент. На компьютере подозреваемого
Важно определить: какое программное обеспечение использовалось; какие файлы использовались; в какой последовательности совершалась атака.
Действия зависят от того, включен компьютер подозреваемого или нет. Если выключен, то согласно методологии больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase, обнаруживаем улики и составляем отчет. Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.
Пятый элемент. Обоснование предыдущих элементов
Важно определить: что является уликой; как собирать улики; как анализировать улики; как оформить отчет о расследовании.
Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.
Суть расследования такова: специалисты организации обнаруживают инцидент и либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.
Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.
Курс по расследованию хакерских инцидентов сопровождается живыми кейсами, шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.
Например, предположим, что некая организация обнаружила утечку данных, являющихся предметом интеллектуальной собственности, и желает расследовать этот инцидент, чтобы прервать канал утечки информации. Для этой цели было инициировано компьютерное расследование. Рассмотрим для примера первые три элемента.
- Поскольку утекшие данные располагались на единственном сервере и в архивных копиях, расследование было начато с исследования FTP-сервера, на котором хранятся данные.
- Анализ системы не выявил посторонних процессов, подключений, подозрительных файлов.
- Анализ системных журналов не выявил никаких сбоев, неожиданных перезагрузок за последние месяцы.
- Анализ журналов FTP-сервера показал легитимные аутентифицированные подключения пользователей и администраторов сервера.
- Анализ журналов брандмауэра показал отсутствие заблокированных подключений.
- Однако на сервере, помимо FTP-сервера, располагается Samba-сервер, принимающий гостевые подключения, в журнале сервера были отмечены многочисленные подключения с IP-адреса 10.5.6.7.
- Поскольку в сети предприятия IP-адреса рабочим станциям выдаются автоматически, в журнале DHCP- сервера было обнаружено событие выдачи IP-адреса определенному MAC-адресу компьютера COMPUTER-12.
- Поскольку IP-адрес и имя компьютера содержат информацию о местоположении компьютера, он был идентифицирован, а по журналу посещений был найден пользователь, работавший за этим компьютером.
- Результаты расследования переданы юристам предприятия. Администраторам сети и сервера было дано указание защитить Samba-сервис от неполномочных подключений для предотвращения повторного инцидента.
Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике. Будем учиться расследованию компьютерных инцидентов!
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
|