Слово дня — «форензика».
Представьте себе мир, где Шерлоки Холмсы и Эркюли Пуаро расследуют преступления не в туманных переулках, а в лабиринтах цифрового мира. Сейчас объясним подробнее.
Что такое форензика?
В русском языке так обозначают киберкриминалистику. Это довольно новое направление в информационной безопасности, которое специализируется на поиске и исследовании цифровых следов киберпреступников. Специфичность в том, что компьютерные данные мгновенно меняются и невидимы для человеческого глаза – их можно обнаружить только с помощью специального экспертного оборудования, методов и техник.
Зачем нужна киберкриминалистика?
Чаще всего хакеры осуществляют атаки на информационные системы компаний или объектов КИИ (критически важные объекты в области здравоохранения, промышленности, связи, транспорта, энергетики, финансового сектора и городского хозяйства). Но современный мир стал настолько цифровым, что объектом нападения злоумышленников может стать практически каждый. Иногда в качестве промежуточного звена в длинной цепочке взломов. Киберследопыты привлекаются для расследования любых цифровых преступлений, подобно настоящим детективам. И их отчеты могут быть использованы даже в суде.
Что делают эксперты при расследовании?
Детально анализируют киберинцидент, пытаясь восстановить хронологию атаки: куда и как получили доступ хакеры, что успели сделать и какой нанести ущерб. Для этого они собирают все данные с «зараженных» устройств и ищут аномалии внутри системы. Все оформляется в отчет-досье, которое потом будет использоваться для улучшения безопасности инфраструктуры и отражения новых атак.
Основные типы кибератак
Злоумышленники часто атакуют компьютеры с использованием вредоносных программ, которые распространяют с помощью фишинга. Главные объекты атаки – сотрудники компании. Но также могут быть и более сложные проникновения напрямую в инфраструктуру, например, через подключение зараженных устройств.
Разбираем кейс
В третьем сезоне сериала «Утреннее шоу» телеканал UBA подвергся кибератаке: хакеры получили доступ к инфраструктуре компании и конфиденциальным данным. Это один из самых драматичных моментов, который ведет к ряду кризисов – финансовому и репутационному для компании, личному – для героев. Зрители видят, как после обнаружения атаки, в офис компании приезжают специалисты по информационной безопасности и забирают все электронные устройства сотрудников для расследования.
Что было дальше?
Комментирует эксперт по информационной безопасности VK:
Все зависит от того, какой вектор атаки использовали хакеры. Если через сотрудника, то первым делом блокируются его техника и все учетные записи, почта, корпоративный VPN и сервисы на смартфоне. Далее предстоит выяснить у сотрудника, каким образом могло пройти заражение – письма или сообщения со ссылками, документы, приложения или QR-коды. С компьютером тем временем начинают работать специалисты форензики: изучают все логи на компьютере, чтобы собрать артефакты, ищут индикаторы компрометации, чтобы по ним проверить в логах инфраструктуры компании, не заражена ли другая техника. Затем идет расследование, какие доступы были у сотрудника, чтобы понять, куда мог попасть злоумышленник. Если же взлом произошел не через сотрудника, то наступает очередь владельцев сервисов и системных администраторов – с ними начинается поиск и анализ возможных точек проникновения, а также изоляция сервисов от внешней сети, поиск ПО злоумышленников и бэкдоров, которые они могли оставить.
Читайте другие наши статьи про громкие киберпреступления века 👇
Забавы ради, или как хакер поставил на уши NASA, ФБР и Пентагон