Как расследовать компьютерные инциденты?::Журнал СА 6.2012
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

Книжная полка  

От создания сайтов до разработки и реализации API

В издательстве «БХВ» недавно вышли книги, которые будут интересны системным администраторам, создателям

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6226
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6932
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4214
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3006
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3806
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3819
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6315
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3169
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3459
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7276
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10646
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12364
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 13998
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9123
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7077
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5387
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4616
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3426
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3154
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3399
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3024
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как расследовать компьютерные инциденты?

Архив номеров / 2012 / Выпуск №6 (115) / Как расследовать компьютерные инциденты?

Рубрика: БИТ. Бизнес & Информационные технологии /  Безопасность

Сергей Клевогин СЕРГЕЙ КЛЕВОГИН, преподаватель Центра компьютерного обучения «Специалист» при МГТУ им. Н.Э.Баумана, MCT. Certified Ethical Hacker, Certified EC-Council Instructor

Как расследовать
компьютерные инциденты?

Важно знать пять элементов для успеха в борьбе с хакерами

В последнее время значительно повысились активность хакеров и соответственно число инцидентов компьютерной безопасности. Можно по-разному считать инциденты, но тенденция очевидна: их количество растет. Вот, к примеру, диаграмма с сайта DataLossDB (http://datalossdb.org/statistics) (см. рис. 1). По ней можно оценить, как изменилась ситуация с момента написания статьи.

Рисунок 1. Количество инцидентов информационной безопасности

Рисунок 1. Количество инцидентов информационной безопасности

Реальные примеры инцидентов информационной безопасности легко найти на новостных сайтах. Например, на сайте eSecurityPlanet заметно, что в день происходит примерно по пять серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H. Как мы видим, в день подвергается дефейсу несколько десятков сайтов.

Предприятия, имеющие ИТ-инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов, прежде всего усиливая безопасность своей информационной системы посредством применений технологий защиты и проведением внутренних проверок. Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, однако это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов – предварительную подготовку к ним.

Как именно проводить расследование инцидентов? Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ-безопасности, и найти там рекомендации о проведении расследования компьютерных инцидентов.

Процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!

Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.

Такой курс есть. Он предложен организацией EC-Council, чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024. И этот курс предлагается в авторизованном EC-Council Центре компьютерного обучения «Специалист» как продолжение курса по этичному хакингу и тестированию на проникновение.

В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Приведу пять элементов расследования компьютерных инцидентов, изучаемых на курсе.

Первый элемент. Что взломано?

Важно определить: какая именно система пострадала в результате инцидента; какой именно сервис был скомпрометирован; какие именно данные были скомпрометированы.

Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.

  • Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени. Это могут быть временные файлы, cookies, но не только.
  • Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния.
  • В-третьих, нужно научиться анализировать процессы, в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов.
  • В-четвертых, процессы используют хранилище пара-метров, реестр, его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра.
  • В-пятых, все процессы выполняются в памяти, поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.

Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.

Второй элемент. Посредством чего взломано?

Важно определить: была ли ошибка в конфигурации; была ли ошибка в приложении; была ли ошибка в системе; была ли ошибка в протоколе.

Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.

Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого необходимо понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а разные платформы могут использовать разные форматы журналов.

Третий элемент. Кто взломал?

Важно определить: через какую систему произошло вторжение; какова была конечная цель атаки; с какого компьютера началась атака.

Пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из уже cобранной информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиафайл.

Четвертый элемент. На компьютере подозреваемого

Важно определить: какое программное обеспечение использовалось; какие файлы использовались; в какой последовательности совершалась атака.

Действия зависят от того, включен компьютер подозреваемого или нет. Если выключен, то согласно методологии больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase, обнаруживаем улики и составляем отчет. Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.

Пятый элемент. Обоснование предыдущих элементов

Важно определить: что является уликой; как собирать улики; как анализировать улики; как оформить отчет о расследовании.

Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.

Суть расследования такова: специалисты организации обнаруживают инцидент и либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.

Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.

Курс по расследованию хакерских инцидентов сопровождается живыми кейсами, шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.

Например, предположим, что некая организация обнаружила утечку данных, являющихся предметом интеллектуальной собственности, и желает расследовать этот инцидент, чтобы прервать канал утечки информации. Для этой цели было инициировано компьютерное расследование. Рассмотрим для примера первые три элемента.

  • Поскольку утекшие данные располагались на единственном сервере и в архивных копиях, расследование было начато с исследования FTP-сервера, на котором хранятся данные.
  • Анализ системы не выявил посторонних процессов, подключений, подозрительных файлов.
  • Анализ системных журналов не выявил никаких сбоев, неожиданных перезагрузок за последние месяцы.
  • Анализ журналов FTP-сервера показал легитимные аутентифицированные подключения пользователей и администраторов сервера.
  • Анализ журналов брандмауэра показал отсутствие заблокированных подключений.
  • Однако на сервере, помимо FTP-сервера, располагается Samba-сервер, принимающий гостевые подключения, в журнале сервера были отмечены многочисленные подключения с IP-адреса 10.5.6.7.
  • Поскольку в сети предприятия IP-адреса рабочим станциям выдаются автоматически, в журнале DHCP- сервера было обнаружено событие выдачи IP-адреса определенному MAC-адресу компьютера COMPUTER-12.
  • Поскольку IP-адрес и имя компьютера содержат информацию о местоположении компьютера, он был идентифицирован, а по журналу посещений был найден пользователь, работавший за этим компьютером.
  • Результаты расследования переданы юристам предприятия. Администраторам сети и сервера было дано указание защитить Samba-сервис от неполномочных подключений для предотвращения повторного инцидента.

Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике. Будем учиться расследованию компьютерных инцидентов!


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru