При расследования компьютерных атак на ряду с другими методами реагирования применяется компьютерная криминалистика - Форензика. Суть этого метода заключается в том, что специалист изучает цифровые данные компьютера на предмет обнаружения цифровых следов преступления, их принято называть "артефактами" . Главными задачами форензики являются:
- Обнаружение проникновения.
- Сбор индикаторов компрометации. Форензика помогает найти и анализировать следы действий злоумышленников в системе, что позволяет выявить уязвимости и предотвратить аналогичные атаки в будущем.
- Подробное документирование всех действий и найденных артефактов в объёме достаточном для того, чтобы найденные следы компрометации могли стать достоверным доказательством при расследовании инцидента.
Артефакты
Артефакты, они же индикаторы компрометации, являются важнейшими элементами при расследовании атаки, которые как улики в расследовании преступлений, позволяют собрать полную картину произошедшего и помогают выявить преступника. Как и в любом другом расследовании количество и качество «улик» помогает не только найти злоумышленника, но и узнать какое именно преступление он совершил. Любое преступление всегда оставляет «следы», по которым его можно обнаружить и расследовать. Приступления в цифровом мире не исключение.
Следы могут как явными, так и скрытыми. К явным можно отнести журналы приложений и операционных систем, атрибуты файлов, программное обеспечение (в том числе и вредоносное) и т.д. Журналы системы можно сравнить с записью камеры видео наблюдения. Журналы есть во всех операционных системах, их задача фиксировать все изменения в информационной среде. Имея такие артефакты достаточно легко определить присутствие нарушителя и последствия его вредоносной деятельности.
Некоторые улики могут быть скрыты. Зачастую нарушитель пытается спрятать или уничтожить следы своего присутствия: удаляет журналы, маскирует вредоносные программы под приложения и службы операционной системы, меняет атрибуты файлов или вовсе отключает журналирование действий. В таких случаях нужно искать «свидетелей» и «косвенные улики». Свидетелями могут выступить соседние устройства, до которых злоумышленнику не удалось добраться. К ним относятся коммутаторы, межсетевые экраны, средства защиты информации разного рода и любые другие сетевые (и не только) узлы, которые так или иначе контактируют с «жертвой».
К косвенным «уликам» можно отнести аномальное поведение программ, служб и операционной системы в целом, в том числе редкие (нетипичные) события или процессы, внезапные сбои в работе оборудования и многое другое.
Способы сбора индикаторов компрометации
Для того чтобы расследовать преступление необходимо добыть улики.. Сам сбор необходимой информации можно разделить на два направления: сбор информации с работающей системы (Live response) и сбор информации с отключенного оборудования (с мертвой системы).
Live response
Live response, представляет собой процесс сбора данных и анализа состояния компьютерной системы в реальном времени. Этот метод часто применяется в целях реагирования на кибератаки, обнаружения уязвимостей и анализа инцидентов.
При использовании Live response специалисты по информационной безопасности могут получить доступ к работающей системе, собрать информацию о процессах, запущенных программных приложениях, сетевых соединениях, а также другие важные данные. Это позволяет выявить подозрительную активность, определить признаки вторжения и принять необходимые меры для обеспечения безопасности системы.
Live response является эффективным инструментом для быстрого реагирования на инциденты безопасности и обеспечения безопасности информационных систем. Важно иметь квалифицированных специалистов и использовать специализированное программное обеспечение.
Снятие информации с неработающей системы
Сбор информации с мертвой системы – это процесс анализа данных и извлечения информации с компьютерной системы, которая была отключена, выведена из строя или не работает. Этот процесс может быть необходим, например, при восстановлении утраченных данных, проведении расследования инцидента информационной безопасности или восстановлении работы системы.
Для сбора информации с мертвой системы используются специальные программные и аппаратные средства. К ним относятся программы для восстановления данных, бекап-копии, программы для снятия образов дисков. Эти средства позволяют анализировать файловую систему, реестр, логи и другие данные компьютерной системы, чтобы восстановить необходимую информацию.
Сбор информации с мертвой системы – это сложный и трудоемкий процесс, который требует профессиональных навыков и опыта в области цифровой криминалистики и восстановления данных. Важно проводить этот процесс с соблюдением всех правил и стандартов безопасности, чтобы избежать потери данных или ущерба для системы.
Если в результате компьютерной атаки был нанесён вред критически важным системам, который повлег какой либо ушерб организации, то такая атака становится уголовным преступлением. Все собранные артефакты становятся уликами для правоохранительных органов и суда. В таком случае для снятия информации нужно применять специальные средства, которые гарантированно не позволят изменить содержимое жёстких дисков. К таким средствам относятся аппаратные и программные блокираторы записи. Их главная задача - обеспечить просмотр содержимого жёстких дисков и заблокировать изменение этого содержимого при просмотре.
В этой статье я посторался кратко рассказать о компьютерной форензика, как об одном из направлений информационной безопасности. Специалисты пофорензике должны иметь экспертные знания во многих направлениях IT и ИБ.
