Что такое цифровая криминалистика и реагирование на инциденты
-
Digital Forensics and Incident Response (DFIR) — комбинированная дисциплина, состоящая из цифровой криминалистики (англ. Digital Forensics) и реагирования на инциденты (англ. Incident Response) информационной безопасности. Эти составляющие тесно связаны и сосуществуют в рамках процесса DFIR.
Цифровая криминалистика (англ. Digital Forensics), также известная как компьютерная криминалистика или форензика, — это процесс идентификации, извлечения, сохранения, исследования, анализа и документирования электронных данных, которые могут иметь значение для расследования.
Можно соотнести с определением Интерпола:
Можно соотнести с определением Интерпола:
- Digital Forensics is a branch of forensic science that focuses on identifying, acquiring, processing, analysing, and reporting on data stored electronically.
Реагирование на инциденты (англ. Incident Response) — процесс выбора стратегии, планирования и непосредственно устранения последствий инцидента информационной безопасности.
Можем сравнить с формулировкой от CrowdStrike:
Можем сравнить с формулировкой от CrowdStrike:
- Incident Response (IR) is the steps used to prepare for, detect, contain, and recover from a data breach.
Цифровая криминалистика оперирует артефактами — цифровыми следами (например, ключи системного реестра, cron-задачи, лог-файлы). Эти объекты цифровой криминалистики позволяют восстанавливать хронологию событий. Для их анализа используются специализированные инструменты цифровой криминалистики и форензика программы, такие как анализаторы памяти, логов и файловых систем.
Реагирование же включает в себя меры, которые необходимо принять для безопасного доступа к исследуемым данным, установлению перечня затронутых систем и их очистке от вредоносного содержимого. И сделать это в минимальные сроки и максимально скрытно от атакующих. Например, подключение по RDP в режиме restricted admin, удаление отложенной задачи, остановка процесса, смена паролей, удаление учётных записей.
Уже заметна некая разница между форензикой и реагированием, правда? Теперь в первом приближении охарактеризуем человека, который занимается этими видами деятельности.
Реагирование же включает в себя меры, которые необходимо принять для безопасного доступа к исследуемым данным, установлению перечня затронутых систем и их очистке от вредоносного содержимого. И сделать это в минимальные сроки и максимально скрытно от атакующих. Например, подключение по RDP в режиме restricted admin, удаление отложенной задачи, остановка процесса, смена паролей, удаление учётных записей.
Уже заметна некая разница между форензикой и реагированием, правда? Теперь в первом приближении охарактеризуем человека, который занимается этими видами деятельности.
Кто такой специалист по форензике?
Как и в некоторых других позициях в ИТ и ИБ, это энтузиаст. Область DFIR обширна, а становление и развитие компьютерной криминалистики продолжается до сих пор: появляются новые типы атак, среды и инструменты.
Так что форензик — это сильный «технарь», но ещё и активный, деятельный, не боящийся экспериментов и вообще всего нового. Кроме того, это человек очень внимательный к деталям (в случае «классического» форензика особенно), стрессоустойчивый (инциденты часто происходят в пятницу вечером или ночью, могут быть публичными, когда перестаёт работать сайт и руководство хочет исправления сейчас же), решительный и хорошо ориентирующийся в условиях неопределённости (действовать нужно быстро и точно). А ещё респонсер — это стратег: часто контрмеры принимаются во время развития атаки, так что стороны атакующих и защищающихся действуют параллельно, а потому респонсер должен планировать на десять шагов вперёд, чтобы своими действиями не сделать ещё хуже.
Так что форензик — это сильный «технарь», но ещё и активный, деятельный, не боящийся экспериментов и вообще всего нового. Кроме того, это человек очень внимательный к деталям (в случае «классического» форензика особенно), стрессоустойчивый (инциденты часто происходят в пятницу вечером или ночью, могут быть публичными, когда перестаёт работать сайт и руководство хочет исправления сейчас же), решительный и хорошо ориентирующийся в условиях неопределённости (действовать нужно быстро и точно). А ещё респонсер — это стратег: часто контрмеры принимаются во время развития атаки, так что стороны атакующих и защищающихся действуют параллельно, а потому респонсер должен планировать на десять шагов вперёд, чтобы своими действиями не сделать ещё хуже.
Какие бывают форензики?
По большей части эксперты — это прошедшие курсы повышения квалификации классические криминалисты или увлекающиеся компьютерами следователи, однако есть и выпускники вузов со специализированной подготовкой. Отдельные направления есть в вузах МВД и МГТУ им. Н. Э. Баумана.
Несколько особняком стоят специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) ФСБ России. Упомянутая структура по спектру активностей гораздо ближе к коммерческим ИБ-компаниям, чем к рассмотренным ранее экспертным организациям, так как занимается анализом защищённости в формате тестирований на проникновение, реверс-инжинирингом вредоносного программного обеспечения (ВПО), разработкой детектирующих правил для систем защиты информации (СЗИ), реагированием на инциденты в подведомственных организациях.
И разумеется, специалисты по DFIR имеются также в коммерческих компаниях. Вариативность там, конечно, ещё шире.
Например, есть различные объединения судебных экспертов (например, Федерация судебных экспертов), выполняющие экспертизы на коммерческой основе. Такие специалисты проходят аттестации, как и правоохранители, но не носят погоны и являются гражданскими лицами. В основном такие эксперты решают примерно те же задачи, что и в правоохранительных органах, то есть занимаются классической форензикой. Также они часто оказывают услуги по восстановлению данных. Как следует из вышесказанного, это классические форензики, но не специалисты по реагированию на инциденты. В эту сферу идут люди с самым разным опытом, те, кого увлекло углублённое изучение файловых систем, дисков и устройств.
Есть и другой подвид коммерческих форензиков. Они как раз занимаются полноценным реагированием. Такие специалисты могут быть как штатными сотрудниками внутренней (in-house) ИБ-команды, реагируя на происходящие в их компании инциденты, так и частью больших DFIR-лабораторий, занимаясь реагированием в клиентских сетях.
Внутренние респонсеры, как ещё называют специалистов по DFIR, сейчас есть почти в каждой компании. Часто имеются и полноценные (пусть и небольшие) центры мониторинга и реагирования (Security Operations Center, SOC). Часто члены таких команд — это выпускники ИБ-кафедр вузов, интересующиеся форензикой или получившие эту обязанность в дополнение к своему обычному перечню задач. Если вы узнали себя, то этот курс будет вам максимально полезен, так как он систематизирует именно необходимые в реальности базу и лучшие практики. К сожалению (или к счастью?), внутренние команды имеют гораздо меньше инцидентов на ежедневной основе, чем вендорские или MSSP-специалисты, руководствуясь отдельными статьями в сети, часто устаревшими.
Аутсорс-респонсеры работают в «Лаборатории Касперского», Positive Technologies, F.A.C.C.T, «Ростелеком-Солар» и многих других ИБ-компаниях. Как правило, в ходе реагирований они используют собственные программные решения (самописные скрипты-сборщики, часто раскатываются агенты EDR) либо кастомизированные open source инструменты. Кроме того, в работе таких специалистов чаще сначала снимается так называемый triage (набор потенциально интересных данных — MFT, файлы системного реестра, списки процессов, сетевых соединений и другие), так как в ходе реагирований затраченное на сбор и исследование данных время очень критично, а создание образа диска часто занимает достаточно много времени. Кроме того, нередко респонсер ведёт сразу несколько активных расследований, имея по каждому довольно жёсткие SLA (Service Level Agreement, соглашение об уровне сервиса), то есть время, за которое должно быть проведено реагирование и его отдельные этапы. Ещё такие специалисты сильно подкованы в техническом плане, понимают, как устроены кибератаки, и разбираются в группировках, что позволяет им легче ориентироваться при компрометации сети, быстрее находить атакующих в инфраструктуре и грамотно их оттуда выдворять. По сути, это новая реинкарнация кибердетективов, только в рамках компьютерной инфраструктуры: нужно найти все уголки сети внутри периметра, куда им удалось проникнуть, и обезвредить одним движением, чтобы злоумышленники не успели передислоцироваться. В такие команды часто приходят через SOC те, кому интересно, что происходит после обнаружения инцидента, и те, кто любит распутывать эти цепочки. Также у данной категории специалистов, наверное, больше всего путей развития — опытные респонсеры часто уходят в Threat Hunting («охота за киберугрозами», поиск угроз, не обнаруженных обычными методами). Есть, кроме того, все предпосылки для развития навыков реверс-инжиниринга ВПО и киберразведки (Threat Intelligence).
Разные специалисты-форензики могут значительно отличаться друг от друга объектами исследования, целями и самой сутью. Это две ветки, развившиеся из той компьютерной криминалистики 1970-х годов. Реагирование на инциденты — это практически отдельная специализация.
Несколько особняком стоят специалисты Национального координационного центра по компьютерным инцидентам (НКЦКИ) ФСБ России. Упомянутая структура по спектру активностей гораздо ближе к коммерческим ИБ-компаниям, чем к рассмотренным ранее экспертным организациям, так как занимается анализом защищённости в формате тестирований на проникновение, реверс-инжинирингом вредоносного программного обеспечения (ВПО), разработкой детектирующих правил для систем защиты информации (СЗИ), реагированием на инциденты в подведомственных организациях.
И разумеется, специалисты по DFIR имеются также в коммерческих компаниях. Вариативность там, конечно, ещё шире.
Например, есть различные объединения судебных экспертов (например, Федерация судебных экспертов), выполняющие экспертизы на коммерческой основе. Такие специалисты проходят аттестации, как и правоохранители, но не носят погоны и являются гражданскими лицами. В основном такие эксперты решают примерно те же задачи, что и в правоохранительных органах, то есть занимаются классической форензикой. Также они часто оказывают услуги по восстановлению данных. Как следует из вышесказанного, это классические форензики, но не специалисты по реагированию на инциденты. В эту сферу идут люди с самым разным опытом, те, кого увлекло углублённое изучение файловых систем, дисков и устройств.
Есть и другой подвид коммерческих форензиков. Они как раз занимаются полноценным реагированием. Такие специалисты могут быть как штатными сотрудниками внутренней (in-house) ИБ-команды, реагируя на происходящие в их компании инциденты, так и частью больших DFIR-лабораторий, занимаясь реагированием в клиентских сетях.
Внутренние респонсеры, как ещё называют специалистов по DFIR, сейчас есть почти в каждой компании. Часто имеются и полноценные (пусть и небольшие) центры мониторинга и реагирования (Security Operations Center, SOC). Часто члены таких команд — это выпускники ИБ-кафедр вузов, интересующиеся форензикой или получившие эту обязанность в дополнение к своему обычному перечню задач. Если вы узнали себя, то этот курс будет вам максимально полезен, так как он систематизирует именно необходимые в реальности базу и лучшие практики. К сожалению (или к счастью?), внутренние команды имеют гораздо меньше инцидентов на ежедневной основе, чем вендорские или MSSP-специалисты, руководствуясь отдельными статьями в сети, часто устаревшими.
Аутсорс-респонсеры работают в «Лаборатории Касперского», Positive Technologies, F.A.C.C.T, «Ростелеком-Солар» и многих других ИБ-компаниях. Как правило, в ходе реагирований они используют собственные программные решения (самописные скрипты-сборщики, часто раскатываются агенты EDR) либо кастомизированные open source инструменты. Кроме того, в работе таких специалистов чаще сначала снимается так называемый triage (набор потенциально интересных данных — MFT, файлы системного реестра, списки процессов, сетевых соединений и другие), так как в ходе реагирований затраченное на сбор и исследование данных время очень критично, а создание образа диска часто занимает достаточно много времени. Кроме того, нередко респонсер ведёт сразу несколько активных расследований, имея по каждому довольно жёсткие SLA (Service Level Agreement, соглашение об уровне сервиса), то есть время, за которое должно быть проведено реагирование и его отдельные этапы. Ещё такие специалисты сильно подкованы в техническом плане, понимают, как устроены кибератаки, и разбираются в группировках, что позволяет им легче ориентироваться при компрометации сети, быстрее находить атакующих в инфраструктуре и грамотно их оттуда выдворять. По сути, это новая реинкарнация кибердетективов, только в рамках компьютерной инфраструктуры: нужно найти все уголки сети внутри периметра, куда им удалось проникнуть, и обезвредить одним движением, чтобы злоумышленники не успели передислоцироваться. В такие команды часто приходят через SOC те, кому интересно, что происходит после обнаружения инцидента, и те, кто любит распутывать эти цепочки. Также у данной категории специалистов, наверное, больше всего путей развития — опытные респонсеры часто уходят в Threat Hunting («охота за киберугрозами», поиск угроз, не обнаруженных обычными методами). Есть, кроме того, все предпосылки для развития навыков реверс-инжиниринга ВПО и киберразведки (Threat Intelligence).
Разные специалисты-форензики могут значительно отличаться друг от друга объектами исследования, целями и самой сутью. Это две ветки, развившиеся из той компьютерной криминалистики 1970-х годов. Реагирование на инциденты — это практически отдельная специализация.
Суммируя вышесказанное, форензика — это о том, что и как исследовать, а реагирование на инциденты — о том, что и как дальше со всем этим делать. А форензик (респонсер) — тот, кто занимается описанной деятельностью.
Таким образом, это части одного процесса DFIR. Однако та же цифровая криминалистика может существовать и самостоятельно, а реагирование на инциденты эволюционировало настолько, что скоро можно будет говорить о самостоятельной дисциплине.
Таким образом, это части одного процесса DFIR. Однако та же цифровая криминалистика может существовать и самостоятельно, а реагирование на инциденты эволюционировало настолько, что скоро можно будет говорить о самостоятельной дисциплине.
Курс по Digital Forensics & Incident Response в Inseca
Освойте направление Digital Forensics & Incident Response за 8 недель и получите навыки, необходимые для расследования, анализа и реагирования на инциденты кибербезопасности. Курс включает практику в реальных кейсах. Подходит специалистам с опытом в IT/ИБ от 1 года, которые хотят заниматься реагированием на инциденты, аналитикам SOC, желающим углубиться в полноцикловое реагирование и начинающим специалистам по DFIR, желающим систематизировать знания и получить полноценное понимание предметной области.
Получить бесплатный доступ на 3 дня
Нажимая на кнопку, выражаю согласие на обработку указанных персональных данных в соответствии с Положением, а также принимаю условия Оферты