Как научиться расследованию компьютерных инцидентов

В последнее время значительно повысилась активность хакеров и, соответственно, число инцидентов компьютерной безопасности. Можно по-разному считать число инцидентов, но как бы ни считали инциденты, тенденция очевидна: их число растет.

Вот, к примеру, диаграмма http://datalossdb.org/statistics

Живые и реальные примеры инцидентов информационной безопасности легко находятся на новостных сайтах. Например, на сайте eSecurityPlanet мы видим, что в день происходит примерно по 5 серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H. Как мы видим, в день подвергается дефейсу несколько десятков сайтов.

Предприятия, имеющие ИТ инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов. Прежде всего, усиливая безопасность своей информационной системы, посредством применений технологий защиты и проведением внутренних проверок. Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, и это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов: предварительная подготовка к такому инциденту.

Это направление вызывает вопросы о том, как именно проводить расследование инцидентов.

Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ безопасности и найти там рекомендации о проведении расследования компьютерных инцидентов.

Но процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!

Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.

Такой курс есть. Он предложен организацией EC-Council, чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024.

И  этот курс  предлагается в авторизованном EC-Council центре компьютерного обучения «Специалист» как продолжение курса по этичному хакингу и тестированию на проникновение.

В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Кстати, зачем об этом рассказывать, есть ведь программа курса? Дело в том, что программа курса состоит из 22-х модулей, а любая классификация, не содержащая от трех до шести категорий, согласно известному афоризму, бесполезна. И здесь я приведу 5 элементов расследования компьютерных инцидентов, изучаемых на курсе.

1 Элемент. Что взломано?

 Важно определить,

• какая именно система пострадала в результате инцидента;
• какой именно сервис был скомпрометирован;
• какие именно данные были скомпрометированы.

Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.

Это большая тема, аспектов и утилит множество, но если разделить снова на 5 элементов, то будет выглядеть так:

Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени, это могут быть временные файлы, cookies, но не только;

Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния;

В-третьих, нужно научиться анализировать процессы, в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов;

В-четвертых, процессы используют хранилище параметров, реестр, его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра;

В-пятых, все процессы выполняются в памяти, поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.

Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.

2 Элемент. Посредством чего взломано?

 Важно определить,

• была ли ошибка в конфигурации;
• была ли ошибка в приложении;
• была ли ошибка в системе;
• была ли ошибка в протоколе.

Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.

Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого нужно понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а также разные платформы могут использовать разные форматы журналов.

3 Элемент. Кто взломал?

 Важно определить,

•  через какую систему произошло вторжение;
•  какова была конечная цель атаки;
•  с какого компьютера началась атака.

Снова пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из собранной на предыдущих шагах информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиа-файл.

4 Элемент. На компьютере подозреваемого

 Важно определить,

•  какое программное обеспечение использовалось;
•  какие файлы использовались;
•  в какой последовательности совершалась атака.

Действия зависят от того, включен компьютер подозреваемого, или нет. Если выключен, то, согласно методологии, больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase обнаруживаем улики и составляем отчет.

Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.

5 Элемент. Обоснование предыдущих элементов

 Важно определить,

•  что является уликой;
•  как собирать улики;
•  как анализировать улики;
•  как оформить отчет о расследовании.

Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики, и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.

Суть расследования такова: специалисты организации обнаруживают инцидент, и, либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.

Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.

Курс по расследованию хакерских инцидентов сопровождается живыми кейсами, шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.

Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике.

Будем учиться расследованию компьютерных инцидентов!

Комментарии могут оставлять только зарегистрированные пользователи