Форензика от CICADA8: как мы расследуем инциденты

Под форензикой часто понимают компьютерную криминалистику, в самом широком смысле этих двух слов (т. е. за устоявшимися пределами понятия "криминалистика"). Сюда относятся и судебные исследования цифровой информации, и корпоративные расследования, и даже работа экспертов на третьей линии SOC (и данный перечень далеко не исчерпывающий).

Когда речь идет о коммерческих услугах, под форензикой обычно понимают расследование инцидентов кибербезопасности, не обязательно связанных с уголовными делами или судебными исками. Для коммерческих организаций привлечение злоумышленников к ответственности часто не является главной целью. Поэтому корпоративные расследования инцидентов могут фокусироваться на других вопросах, таких как:

• оценка масштабов и возможных последствий инцидента;
• выявление слабых мест в защите;
• составление рекомендаций по предотвращению подобных инцидентов в будущем.

Как правило, расследование инцидента — это одна из составных частей комплексной услуги реагирования, в которую также входит проверка подозрительных событий на наличие реального инцидента, остановка инцидента, нейтрализация присутствия злоумышленника и при необходимости восстановление данных.

Чаще всего услуги форензики требуются при обнаружении в инфраструктуре организации вредоносной программы и признаков деятельности взломщиков. Тут все понятно: если на компанию была совершена кибератака, то надо остановить инцидент, лишить злоумышленников доступа, восстановить данные и работоспособность цифровой инфраструктуры, а также провести расследование, чтобы улучшить защиту.

Кроме того, компьютерная криминалистика играет ключевую роль в расследовании утечек информации или подозрений на них, позволяя идентифицировать источники и маршруты утечки, и определить круг лиц, ответственных за нее.

Форензика решает и более нестандартные задачи. Например, если возникает подозрение на компрометацию цифровых устройств высокопоставленного сотрудника. В этом случае может потребоваться провести их исследование, чтобы обнаружить следы несанкционированного доступа и установить, что именно произошло и какие у этого могут быть последствия.

Другой сценарий — исследование цифровых устройств сотрудника, уволенного по негативной статье, чтобы установить, были ли совершены какие-либо несанкционированные действия перед увольнением (или даже после него). Эксперты могут выявить попытки доступа к важной информации, ее копирование или удаление. Это позволяет обнаружить и предотвратить возможные враждебные действия такого сотрудника по отношению к компании.

В услугу реагирования на инциденты также входит тщательное документирование всех этапов расследования. Это важно, как для внутренних целей, так и для того, чтобы собранные данные могли быть переданы правоохранительным органам или использованы в качестве доказательств в суде. Специалисты фиксируют, как и откуда были получены данные, как они анализировались и как с ними обращались. Это помогает подтвердить, что данные надежны и не были изменены. Такой подход повышает вероятность того, что информация, представленная в суде, будет признана достоверной.

Привлечение внешней команды реагирования помогает обнаружить проблемы бизнес-процессов и повысить их эффективность. В частности, услуги форензики и реагирования на инцидент позволяют решить следующие задачи:

• Повышение уровня защищенности. Привлечение внешних специалистов, обладающих экспертизой в форензике, позволяет эффективно выявлять недостатки в защите и вырабатывать меры для ее улучшения.
  
  
• Компенсация нехватки внутренних ресурсов. В случаях, когда внутреннее подразделение информационной безопасности не имеет достаточно опыта и ресурсов, внешние специалисты могут предложить необходимую экспертизу для квалифицированного и своевременного реагирования на инциденты. Это помогает минимизировать время между обнаружением угрозы и ее устранением, снижая потенциальный ущерб и время простоя.
  
  
• Повышение киберграмотности сотрудников. Взаимодействие с внешними специалистами помогает повысить квалификацию внутренней службы ИБ. В свою очередь, развитие внутренних компетенций позволяет предотвратить будущие инциденты.
  
  
• Проведение объективного расследования. Внешняя команда обеспечивает непредвзятое расследование инцидентов, что особенно важно, когда сотрудники могут быть заинтересованы в сокрытии внутренних проблем. Это дает возможность получить полную картину происходящего и принимать меры на основе объективной информации.
  
  
• Предотвращение злоупотребления полномочиями. Расследование силами внешних экспертов помогает проконтролировать действия сотрудников в отношении конфиденциальных данных. Это позволяет предотвратить неправомерное использование информации и улучшить защиту данных в компании.

Опыт. Специалисты команды CICADA8 обладают опытом в области кибербезопасности, начиная от оперативного реагирования на инциденты, где требуется скорость и нет места для ошибок, до проведения судебных экспертиз, которые подчиняются строгим процессуальным требованиям.

Гибкость. У команды CICADA8 есть богатый опыт взаимодействия с разнообразными клиентами, обладающими различным уровнем зрелости процессов кибербезопасности. При реагировании на инцидент это помогает быстро подстраиваться под реальные потребности клиента и адаптировать наши стратегии и подходы для максимально эффективного устранения угроз в разнообразных обстоятельствах.

Объективность. Независимость от внутренних факторов позволяет экспертам CICADA8 более точно анализировать данные и предоставлять объективные рекомендации, что критически важно для корректного реагирования на угрозы и минимизации рисков.

Уникальная экспертиза. Команда CICADA8 обладает экспертизой в специфических областях кибербезопасности, которого часто может не быть у внутренней команды ИБ. Наши эксперты специализируются на восстановлении информации, требующем глубокого знания принципов хранения данных и архитектуры файловых систем. Опыт в реверс-инжиниринге вредоносного ПО дает экспертам точное понимание действий и целей злоумышленников. Наконец, экспертиза в выявлении ошибок в инструментах цифровой криминалистики позволяет проводить расследования более эффективно и находить улики, которые легко пропустить, не имея такого специального опыта.

Помимо услуги экстренного реагирования на инцидент, в наборе экспертных сервисов CICADA8 недавно также появилась опция “Инциденты по подписке”. В рамках подписки предоставляется от 5 до 30 рабочих дней эксперта на год с неограниченным количеством инцидентов. Неиспользованные дни можно направить на другие экспертные сервисы CICADA8, такие как тестирование на проникновение, анализ защищенности, симуляция кибератаки (Red Teaming) или повышение эффективности службы ИБ (Purple Teaming). У подписки есть два дополнительных плюса, которые становятся важны в момент инцидента. Во-первых, исключается этап бумажной волокиты, что позволяет значительно уменьшить время реагирования. Во-вторых, предварительная оценка ИТ-инфраструктуры заказчика позволяет стартовать с более выгодных позиций, что дополнительно повышает оперативность и эффективность реагирования.