Как научиться расследованию компьютерных инцидентов
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6284
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6989
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4273
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3036
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3837
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3852
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6343
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3194
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3486
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7302
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10669
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12388
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14031
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9155
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7106
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5410
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4646
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3446
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3178
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3421
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3047
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Как научиться расследованию компьютерных инцидентов

Блог:  Блог УЦ Специалист |  Автор:  Roard |  Категория:  СУБД и Бизнес-аналитикаКлиентские операционные системыОбразование 28.05.2012 - 09:13

 

В последнее время значительно повысилась активность хакеров и, соответственно, число инцидентов компьютерной безопасности. Можно по-разному считать число инцидентов, но как бы ни считали инциденты, тенденция очевидна: их число растет.

Вот, к примеру, диаграмма http://datalossdb.org/statistics

Живые и реальные примеры инцидентов информационной безопасности легко находятся на новостных сайтах. Например, на сайте eSecurityPlanet мы видим, что в день происходит примерно по 5 серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H. Как мы видим, в день подвергается дефейсу несколько десятков сайтов.

 

Предприятия, имеющие ИТ инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов. Прежде всего, усиливая безопасность своей информационной системы, посредством применений технологий защиты и проведением внутренних проверок. Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, и это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов: предварительная подготовка к такому инциденту.

Это направление вызывает вопросы о том, как именно проводить расследование инцидентов.

Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ безопасности и найти там рекомендации о проведении расследования компьютерных инцидентов.

Но процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!

Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.

Такой курс есть. Он предложен организацией EC-Council, чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024.

И  этот курс  предлагается в авторизованном EC-Council центре компьютерного обучения «Специалист» как продолжение курса по этичному хакингу и тестированию на проникновение.

В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Кстати, зачем об этом рассказывать, есть ведь программа курса? Дело в том, что программа курса состоит из 22-х модулей, а любая классификация, не содержащая от трех до шести категорий, согласно известному афоризму, бесполезна. И здесь я приведу 5 элементов расследования компьютерных инцидентов, изучаемых на курсе.

 

1 Элемент. Что взломано?

 Важно определить,

  • какая именно система пострадала в результате инцидента;
  • какой именно сервис был скомпрометирован;
  • какие именно данные были скомпрометированы.

Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.

Это большая тема, аспектов и утилит множество, но если разделить снова на 5 элементов, то будет выглядеть так:

Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени, это могут быть временные файлы, cookies, но не только;

Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния;

В-третьих, нужно научиться анализировать процессы, в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов;

В-четвертых, процессы используют хранилище параметров, реестр, его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра;

В-пятых, все процессы выполняются в памяти, поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.

Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.

 

2 Элемент. Посредством чего взломано?

 Важно определить,

  • была ли ошибка в конфигурации;
  • была ли ошибка в приложении;
  • была ли ошибка в системе;
  • была ли ошибка в протоколе.

Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.

Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого нужно понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а также разные платформы могут использовать разные форматы журналов.

 

3 Элемент. Кто взломал?

 Важно определить,

  •  через какую систему произошло вторжение;
  •  какова была конечная цель атаки;
  •  с какого компьютера началась атака.

Снова пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из собранной на предыдущих шагах информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиа-файл.

 

4 Элемент. На компьютере подозреваемого

 Важно определить,

  •  какое программное обеспечение использовалось;
  •  какие файлы использовались;
  •  в какой последовательности совершалась атака.

Действия зависят от того, включен компьютер подозреваемого, или нет. Если выключен, то, согласно методологии, больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase обнаруживаем улики и составляем отчет.

Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.

 

5 Элемент. Обоснование предыдущих элементов

 Важно определить,

  •  что является уликой;
  •  как собирать улики;
  •  как анализировать улики;
  •  как оформить отчет о расследовании.

Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики, и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.

Суть расследования такова: специалисты организации обнаруживают инцидент, и, либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.

Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.

 

Курс по расследованию хакерских инцидентов сопровождается живыми кейсами, шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.

Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике.

Будем учиться расследованию компьютерных инцидентов!

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru