Розслідування інцидентів інформаційної безпеки

Сьогоднішній великий пост присвячений проблематиці розслідування інцидентів інформаційної безпеки. Так вже історично склалося, що в Росії довгий час цією темою ніхто не займався, при цьому в Європі і США такі послуги стали дуже популярними.

З цим ринком взагалі унікальна ситуація.

На сьогоднішній день ринок розслідування інцидентів ІБ в тих же США становить кілька мільярдів доларів і значно перевищує ринок, наприклад, privacy, або як, з деякими припущеннями, ми його називаємо - захист персональних даних. Очевидно, що ця тема буде розвиватися, незважаючи на російські традиції, особливості і т.п. Просто тому, що є потреба.

Нещодавно я познайомився з Іллею Сачкова, директором першої на російському ринку компанії, яка професійно займається розслідуванням інцидентів інформаційної безпеки. Більш компетентної людини в цих питаннях я не зустрічав.

Щоб зрозуміти, що ж таке розслідування інцидентів інформаційної безпеки по-російськи 😉 попросив дати предметне інтерв'ю для блогу. Сподіваюся, матеріал читачам сподобається, особливо в частині реальних кейсів.

Ілля добрий день,
Ситуація з вашим бізнесом настільки унікальна і цікава, що звичайно питань дуже багато. Я постарався вибрати найбільш загальні. Отже ...

1. Розкажіть про свою компанію. Як вона з'явилася? Чому ви вирішили займатися настільки інноваційним справою?

Привіт, Євген!

Ідея народилася в 2003 році, коли я прочитав американську книгу про розслідування комп'ютерних злочинів. Мені здалося дуже цікавим цей напрямок з точки зору фахівця. У той час я працював в області класичної ІБ. Злочин, розслідування, романтика. Стало цікаво: хто працює в цьому напрямку? Я вивчив ринок і мене вразив той факт, що в Росії цим ніхто не займається, не дивлячись на те, що в США і Європі це розвинена галузь інформаційної безпеки. Одразу захотілося почати діяти в Росії. Тому що інформаційні технології та Інтернет суспільство розвивається однаково у всьому світі, а відповідальність за комп'ютерні злочини в Росії не так розвинена, відповідно цей напрямок буде користуватися попитом. Росія в області ІБ йде по стопах заходу (на щастя і гордості деякі наші методики з розслідування зараз навпаки йдуть на Захід).

Швидко утворилася команда однодумців. Ми діставали рідкісні західні методики з розслідування, практично відразу стала працювати лабораторія. Майже відразу ж з'явилися перші замовлення на розслідування обставин комп'ютерних злочинів. Дуже швидко Group-IB поглинула нас повністю.

2. Які саме послуги ви виділяєте в рамках напряму розслідування інцидентів ІБ? (чому це цікаво замовникам?)

У предметної області ми виділяємо:

• Розслідування інцидентів (комп'ютерних злочинів): інцидент внутрішній або зовнішній, як стався інцидент, чому він стався, що робити зараз, хто з ним пов'язаний?
• Реагування на інциденти і їх моніторинг: в момент скоєння інциденту як мінімізувати шкоду, правильно зібрати докази і не зробити зайвого? Як виявити інцидент?
• Комп'ютерна криміналістика: лабораторія комп'ютерної криміналістики-відновлення хронометражу подій, пошук доказів на носіях інформації, відновлення даних та багато іншого пов'язане з комп'ютерної криміналістики.
• Юридичний супровід всіх робіт: тому що всі інциденти тісно пов'язані з комп'ютерними злочинами важливо виконувати і оформляти роботи відповідно до закону РФ, підключати правоохоронні органи і брати участь в оперативній, слідчій і судовій стадії робіт.

Замовникам це цікаво, тому що Зараз в Росії ніхто адекватно і якісно не може надати ці послуги крім нас. Це не хвастощі. Просто це так. Інтегратори звикли продавати стандартні послуги, а до складних, нелогічним і небезпечним (деяким нашим співробітникам часто загрожують) вони не готові. Так ми і знаходимо наших замовників.

11 правил, які потрібно дотримуватися, якщо ви входите в судовий процес, що стосується питань інформаційної безпеки

3. Більшість учасників ринку не розуміють «Розслідування інцидентів» як послугу. Які послуги користуються найбільшою популярністю і чому? Наведіть приклад конкретної ситуації взаємодії з Замовником. Бажано кілька кейсів. (без вказівки імен, звичайно)

Так ми часто стикаємося з питанням: «для чого нам розслідування?». Ці питання задають люди, які, на жаль, не мали досвіду реагування на реальні і складні інциденти, юридичного супроводу цих інцидентів і роботи з правоохоронними органами.

Зараз коротко розповім про помилки працівників служб інформаційної безпеки:

«Розслідування може провести служба безпеки»

Чому це є помилкою:

• Яким би професіоналом ні співробітник служби інформаційної безпеки, він не може постійно відслідковувати правові рішення з комп'ютерних злочинів, від якої залежить, як саме необхідно налаштувати систему журналирования в інформаційних системах і процедуру реагування на інцидент інформаційної безпеки. Якщо всі докази зібрані тільки службою безпеки - вони не мають ніякої сили.
• Для проведення розслідування потрібне спеціальне обладнання та програмне забезпечення для комп'ютерної експертизи, яке не так просто купити, і його вартість часом дуже висока.
• Розслідування інциденту інформаційної безпеки може проходити до декількох місяців. При цьому виходить, що співробітник, який проводить розслідування, буде відірваний від поточної роботи, і його обов'язки доведеться перерозподіляти серед інших працівників. А якщо штат недоукомплектований, або працівники і так перевантажені роботою?
• Якщо інцидент стався з вини або недогляду служби інформаційної безпеки, то варто чекати об'єктивної оцінки того, що відбувається?

Загалом, особливостей багато і говорити про це можна годинами. Якщо провести умовну градацію, то необхідність можна розділити на ту, коли є прямий повернення інвестицій (можна навіть розрахувати ROI) і коли розслідування потрібно провести в будь-якому випадку: необхідність по закону, вимога акціонерів, неможливість це зробити за допомогою служби ІБ.

У 2010 році найпопулярнішими розслідуваннями стали: шахрайства в системах дистанційного банківського обслуговування (ДБО). З'явилися цілі групи кіберзлочинців, що займаються централізованою крадіжкою ключів для систем ДБО і подальшої обналичкой грошових коштів.

Крадіжка коштів може бути проведена як вашими внутрішніми співробітниками, так і абсолютно не мають до вашої компанії людьми. І це перше питання, на який ми можемо відповісти. Хто вкрав ключі?

У більшості випадків компрометація електронних ключів відбувається за допомогою шкідливого ПО, яке проникає через Інтернет. Цей код виявляє, що на даному ПК ведеться робота з системою ДБО, і здійснює копіювання ключів і логіна / пароля користувача, а потім передає цю інформацію зловмисникам. Крім того, можливі випадки, коли переказ грошових коштів здійснюється безпосередньо з ПК жертви за допомогою ПО для віддаленого адміністрування, також, встановленого шахраями через мережу Інтернет. На скріншоті приклад панелі зловмисника (клікнути, щоб збільшити).

Отже спочатку визначаючи як були вкрадені ключі, ми йдемо по ланцюжка додаткових доказів: DDoS атака, куди вірус відправляв інформацію, хто завантажував вірус, звідки він був завантажений і по багатьом іншим. Ми допомагаємо криміналістично вірно зафіксувати факт крадіжки з точки зору ІТ, а так само збираємо достатньо інформації, щоб знайти і на законних підставах залучити до відповідальності злочинців.

Так само з популярних розслідувань в 2010- DDoS атаки. Для замовників важливо знайти замовника атаки. У реальному світі це означає знаходження виконавця, залучення його до відповідальності і з'ясування імені замовника після оперативно-розшукових заходів.

Якщо починається фішингова атака на банк, то банк дуже цікавить - це цільова атака на банк або масове явище. Далі цікавить знайти зловмисників і паралельно з цим мінімізувати вплив на банк. Ми закриваємо фішингових домен, додаємо інформацію про атаку в антифішинговий фільтри браузерів.

Якщо це знову ж шахрайство в ДБО - то цікавить, чи було це шахрайство клієнта або дійсно діяльність хакерів. Інформація допомагає поліпшити систему безпеки.

Розслідування інцидентів ми поєднуємо з реагуванням на інциденти і з моніторингом, тому в нашому випадку ці послуги мають сенс, віддачу інвестицій і користуються популярністю.

4. Які можливі результати вашої роботи з Замовником? Чим зазвичай закінчується робота? Що найцікавіше вашим Замовникам?

Розслідування, це не тільки знаходження зловмисників. Багато в чому це тонкий аудит скопромітірованних систем на предмет того: а як вийшло так, що інцидент стався. Крім знаходження осіб, причетних до інциденту замовник отримує рекомендації щодо поліпшення систем ІБ. І ці рекомендації носять практичний характер. Тобто керівництво компанії не доводиться переконувати що-небудь міняти, вони самі розуміють, що зміни в системі ІБ потрібні.

Замовникам цікаво зрозуміти як стався інцидент, правильно зібрати докази, отримати юридичний супровід розслідувань в правоохоронних органах.

Найчастіше після проведення одного розслідування ми забезпечуємо постійний моніторинг і реагування на інциденти в режимі 24/7.

5. Не секрет, що на заході цей ринок дуже розвинений. Розкажіть про особливості західного і російського розуміння цього бізнесу?

Головна особливість ринку на Заході в тому, що він синхронізований з законодавством і світоглядом населення. Всі розуміють, що таке цінність інформації і що будь-яке незаконне на її замах - злочин. Не потрібно годинами доводити слідчому, що бот мережа це незаконно.

Росія поки від цього далека. Буде потрібно час і серйозні реформи, щоб наздогнати прогрес. Але цей процес неминучий. Електронний уряд, інтернет проекти - все це безпосередньо зіштовхне чиновників з кіберзлочинністю. А коли закон і світогляд населення досягне правильного рівня, тоді і ринок розвинеться.

6. Чому на ваш погляд, в Росії цей ринок тільки починає формуватися?

Відповідь досить проста: тому, що Росія досі не розуміє, що таке комп'ютерний злочин. Ми ще не навчилися захищати свої права в звичайному житті. Тому зрозуміти, що таке крадіжка інформації 90% населення зараз складно. Якщо говорити про корпоративному ринку, тобто укоренелое думку, про який я говорив вище - корпоративна служба безпеки може все зробити сама. А то, що обладнання для певних видів експертиз може коштувати 200 тисяч доларів - це нікого не цікавить. Розслідування проводяться непрофесійно і не мають юридичних перспектив. Зараз тільки передові західні і російські компанії готові до подібних послуг.

7. Як ви бачите розвиток цього ринку в короткостроковій і середньостроковій перспективі?

Якщо законодавство буде розвиватися так само повільно, як і зараз, то через кілька років в мережі Інтернет переможе кіберзлочинність. І вже про ринок буде говорити складно. Я не шуткую.

8. Які ваші плани на найближчу і довгострокову перспективу?

Зараз ми запускаємо кілька нових послуг, наприклад захист бренду онлайн і Anti-phishing monitoring & Response, які допоможуть в режимі реального часу виявляти загрози проти конкретного бренду: фішинг, шахрайство (продаж контрафакту від імені іншої компанії), чорний PR і кібесквоттінг.

Що стосується нашого захисту від DDoS, то зараз ми готові захищати від 25 ГБ / с атак, а вже до вересня будемо тримати 40 ГБ / с плюс захищати від складних інтелектуальних атак.

Так само я бачу великі перспективи в подальшому розвитку HoneyNet проекту, який дає нам аналітику по бот-мереж і іншим кібер-активностей. Плануємо й надалі закуповувати і створювати самостійно найкраще обладнання з криміналістики в нашу лабораторію.

Обов'язково ми і наші партнери будемо лобіювати вдосконалення законодавства в області комп'ютерних злочинів і комп'ютерної криміналістики.

Паралельно з цим будемо розвивати некомерційні проекти, які підтримуються державою: це популяризація теми боротьби з комп'ютерною злочинністю.

9. Що ви побажаєте читачам мого блогу?

Бажаю всім гарного настрою і міцного здоров'я. Ну і головне бути щасливими. Все решта додасться. Дякуємо!

Спасибі Ілля за цікаву інформацію.

PS Колеги, якщо є питання по темі, прошу писати в коментарі, Ілля по можливості постарається відповісти.