По скрытым следам: расследование инцидентов в Unix и Windows. Расследование инцидентов безопасности компьютерных систем Расследование компьютерных инцидентов и преступлений
В последнее время значительно повысилась активность хакеров и, соответственно, число инцидентов компьютерной безопасности. Можно по-разному считать число инцидентов, но как бы ни считали инциденты, тенденция очевидна: их число растет.
Живые и реальные примеры инцидентов информационной безопасности легко находятся на новостных сайтах. Например, на сайте eSecurityPlanet мы видим, что в день происходит примерно по 5 серьезных инцидентов. А посмотреть на дефейсы веб-сайтов можно на Zone-H . Как мы видим, в день подвергается дефейсу несколько десятков сайтов.
Предприятия, имеющие ИТ инфраструктуру, естественно, реагируют на тенденцию роста компьютерных инцидентов. Прежде всего, усиливая безопасность своей информационной системы, посредством применений технологий защиты и проведением внутренних проверок . Но те организации, которые участвуют в росте числа инцидентов, тоже усиливали безопасность своей информационной системы, и это не предотвратило возникновения у них инцидентов. Отсюда вытекает необходимость еще одного направления реакции на растущее число инцидентов: предварительная подготовка к такому инциденту.
Это направление вызывает вопросы о том, как именно проводить расследование инцидентов.
Можно обратиться в тот же Google, откуда поступила информация о росте числа инцидентов ИТ безопасности и найти там рекомендации о проведении расследования компьютерных инцидентов.
Но процесс расследования слишком важен, чтобы не иметь основы, некой методики, одобренной какой-нибудь уважаемой организацией. А процесс изучения вопроса слишком важен, чтобы быть неформализованным и отданным на выбор самого администратора безопасности. При этом время ограничено, инцидент может случиться прямо сейчас!
Так мы логично подошли к необходимости курса по расследованию компьютерных инцидентов, который предложил бы надежную методологию расследования инцидентов безопасности на предприятии, включая как организационные, так и технические вопросы анализа данных.
Такой курс есть. Он предложен организацией EC-Council , чьи курсы этичного хакинга получили одобрение по стандарту ANSI/ISO/IEC 17024 .
И этот курс предлагается в авторизованном EC-Council центре компьютерного обучения «Специалист » как продолжение курса по этичному хакингу и тестированию на проникновение.
В этой статье я расскажу о том, что будет изучаться на курсе по расследованию компьютерных инцидентов, в какой последовательности и зачем. Кстати, зачем об этом рассказывать, есть ведь программа курса? Дело в том, что программа курса состоит из 22-х модулей, а любая классификация, не содержащая от трех до шести категорий, согласно известному афоризму, бесполезна. И здесь я приведу 5 элементов расследования компьютерных инцидентов, изучаемых на курсе.
1 Элемент. Что взломано?
Важно определить,
- какая именно система пострадала в результате инцидента;
- какой именно сервис был скомпрометирован;
- какие именно данные были скомпрометированы.
Оказывается, для этой цели можно использовать заранее подготовленный пакет утилит оперативного реагирования, который поможет определить, что именно взломано в результате инцидента. Какие именно утилиты будут входить в этот пакет и как именно будут использоваться, изучается на протяжении всего курса.
Это большая тема, аспектов и утилит множество, но если разделить снова на 5 элементов, то будет выглядеть так:
Во-первых, нужно уметь идентифицировать и собрать данные, которые могут исчезнуть в короткий промежуток времени, это могут быть временные файлы, cookies, но не только;
Во-вторых, нужно научиться анализировать сетевые подключения и активность системы на предмет наличия отклонений от обычного состояния;
В-третьих, нужно научиться анализировать процессы , в них выполняется код, а так как процессы выполняют код, расположенный в исполняемых файлах и библиотеках, здесь же обратим внимание на целостность этих файлов;
В-четвертых, процессы используют хранилище параметров, реестр , его анализ может открыть больше информации, и нам помогут различные утилиты просмотра реестра;
В-пятых, все процессы выполняются в памяти , поэтому анализ памяти также важен для расследования. Сложностью является то, что память большая, а вредоносные данные небольшие и легко теряются в шестнадцатеричном дампе.
Компрометация или нарушение целостности данных может быть замечена также системой аудита и системой мониторинга сетевого трафика.
2 Элемент. Посредством чего взломано?
Важно определить,
- была ли ошибка в конфигурации;
- была ли ошибка в приложении;
- была ли ошибка в системе;
- была ли ошибка в протоколе.
Под каждую тему отведем модуль, чтобы детально изучить, чем могут помочь информация о процессах, ключах реестра, файлах, всевозможные дампы и журналы.
Здесь нужно научиться одной важной вещи: соотношению событий, записей журналов и конфигурации системы. Для этого нужно понимать, что журналы могут быть у каждого сервиса свои, храниться могут как локально, так и на удаленном сервере, а также разные платформы могут использовать разные форматы журналов.
3 Элемент. Кто взломал?
Важно определить,
- через какую систему произошло вторжение;
- какова была конечная цель атаки;
- с какого компьютера началась атака.
Снова пригодится умение соотносить информацию разных журналов с событиями, сопровождающими инцидент безопасности. Но на этом этапе нужно уметь из собранной на предыдущих шагах информации выделить идентификаторы злоумышленника. Это не обязательно должен быть IP, это может быть адрес электронной почты, учетная запись в приложении, медиа-файл.
4 Элемент. На компьютере подозреваемого
Важно определить,
- какое программное обеспечение использовалось;
- какие файлы использовались;
- в какой последовательности совершалась атака.
Действия зависят от того, включен компьютер подозреваемого, или нет. Если выключен, то, согласно методологии, больше не включаем, а дублируем образ диска и затем с помощью таких инструментов, как AccessData FTK и EnCase обнаруживаем улики и составляем отчет.
Возможен и вариант нахождения улик не на компьютере, а на любом другом оборудовании, ксероксе, принтере, мобильном устройстве.
5 Элемент. Обоснование предыдущих элементов
Важно определить,
- что является уликой;
- как собирать улики;
- как анализировать улики;
- как оформить отчет о расследовании.
Слово улика (evidence) проходит красной нитью через весь курс. Дампы, журналы, файлы – компьютерные термины. Чтобы их можно было приобщить к формализованному процессу расследования, они должны быть оформлены как улики, и обрабатываться в соответствии с процедурами, сохраняющими юридическую значимость улик. Здесь придется немного распараллелиться, поскольку правовое поле России имеет свои особенности.
Суть расследования такова: специалисты организации обнаруживают инцидент, и, либо своими силами оперативно реагируют на инцидент, анализируют данные и передают результаты анализа руководству, либо нанимают аутсорсера по расследованию компьютерных инцидентов, который обеспечит техническое и юридическое сопровождение расследования до передачи дела правоохранительным органам и в суд.
Даже если организация не имеет намерения проводить юридически значимые расследования инцидентов, знание и умение применить методологию расследования хакерских инцидентов повысит общую защищенность информационной системы предприятия.
Курс по расследованию хакерских инцидентов сопровождается живыми кейсами , шестнадцатью учебными примерами по расследованию, показывающими применение техник расследования. Эти кейсы отрабатываются как в теории, так и на практике, в рамках лабораторных работ на виртуальных серверах.
Методология расследования сопровождается контрольными списками (чек-листами), по которым можно сверять правильную последовательность проведения расследования. Теперь мы точно не запутаемся в расследовании деятельности хакера. Ведь осталось только следовать разработанной самими хакерами методике.
Будем учиться расследованию компьютерных инцидентов!
1.1. В настоящем Порядке используются следующие термины и определения:
Событие информационной безопасности (information security event ): Идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности.
Инцидент информационной безопасности (information security incident ): Появление одного или нескольких нежелательных, или неожиданных событий информационной безопасности, с которыми связана значительная вероятность компрометации бизнес-операций и создания угрозы информационной безопасности.
1.2. Обработка инцидента информационной безопасности включает следующие этапы:
- определение инцидента;
- оповещение о возникновении инцидента;
- регистрация инцидента;
- устранение последствий и причин инцидента;
- расследование инцидента;
- реализация действий, предупреждающих повторное возникновение инцидента.
Определение инцидента, оповещение о возникновении и регистрация инцидента информационной безопасности
2.1. Примеры инцидентов информационной безопасности и их причины.
Инциденты информационной безопасности могут быть преднамеренными или случайными (например, являться следствием какой-либо человеческой ошибки или природных явлений ) и вызваны как техническими, так и не техническими средствами. Их последствиями могут быть такие события, как несанкционированные раскрытие или изменение информации, ее уничтожение или другие события, которые делают ее недоступной, а также нанесение ущерба активам организации или их хищение. Инциденты информационной безопасности, о которых не было сообщено, но которые были определены как инциденты, расследовать невозможно и защитных мер для предотвращения повторного появления этих инцидентов применить нельзя.
2.1.1 Отказ в обслуживании.
Отказ в обслуживании является обширной категорией инцидентов информационной безопасности, имеющих одну общую черту. Подобные инциденты информационной безопасности приводят к неспособности систем, сервисов или сетей продолжать функционирование с прежней производительностью, чаще всего при полном отказе в доступе авторизованным пользователям.
Существует два основных типа инцидентов информационной безопасности, связанных с отказом в обслуживании, создаваемых техническими средствами: уничтожение ресурсов и истощение ресурсов.
Некоторыми типичными примерами таких преднамеренных технических инцидентов информационной безопасности «отказ в обслуживании» являются:
- зондирование сетевых широковещательных адресов с целью полного заполнения полосы пропускания сети трафиком ответных сообщений;
- передача данных в непредусмотренном формате в систему, сервис или сеть в попытке разрушить или нарушить их нормальную работу;
- одновременное открытие нескольких сеансов с конкретной системой, сервисом или сетью в попытке исчерпать их ресурсы (то есть замедление их работы, блокирование или разрушение ).
Одни технические инциденты информационной безопасности «отказ в обслуживании» могут возникать случайно, например в результате ошибки в конфигурации, допущенной оператором, или из-за несовместимости прикладного программного обеспечения, а другие — преднамеренными. Одни технические инциденты информационной безопасности «отказ в обслуживании» инициируются намеренно с целью разрушения системы, сервиса и снижения производительности сети, тогда как другие — всего лишь побочными продуктами иной вредоносной деятельности. Например, некоторые наиболее распространенные методы скрытого сканирования и идентификации могут приводить к полному разрушению старых или ошибочно сконфигурированных систем или сервисов при их сканировании. Следует заметить, что многие преднамеренные технические инциденты типа «отказ в обслуживании» часто инициируются анонимно (то есть источник атаки неизвестен ), поскольку злоумышленник обычно не получает информации об атакуемой сети или системе.
Инциденты информационной безопасности «отказ в обслуживании» , создаваемые не техническими средствами и приводящие к утрате информации, сервиса и (или ) устройств обработки информации, могут вызываться, например, следующими факторами:
- нарушениями систем физической защиты, приводящими к хищениям, преднамеренному нанесению ущерба или разрушению оборудования;
- случайным нанесением ущерба аппаратуре и (или ) ее местоположению от огня или воды/наводнения;
- экстремальными условиями окружающей среды, например высокой температурой (вследствие выхода из строя системы кондиционирования воздуха );
- неправильным функционированием или перегрузкой системы;
- неконтролируемыми изменениями в системе;
- неправильным функционированием программного или аппаратного обеспечения.
2.1.2. Сбор информации
В общих чертах инциденты информационной безопасности «сбор информации» подразумевают действия, связанные с определением потенциальных целей атаки и получением представления о сервисах, работающих на идентифицированных целях атаки. Подобные инциденты информационной безопасности предполагают проведение разведки с целью определения:
- наличия цели, получения представления об окружающей ее сетевой топологии и о том, с кем обычно эта цель связана обменом информации;
- потенциальных уязвимостей цели или непосредственно окружающей ее сетевой среды, которые можно использовать для атаки.
Типичными примерами атак, направленных на сбор информации техническими средствами, являются:
- сбрасывание записей DNS (системы доменных имен ) для целевого домена Интернета (передача зоны DNS );
- отправка тестовых запросов по случайным сетевым адресам с целью найти работающие системы;
- зондирование системы с целью идентификации (например, по контрольной сумме файлов ) операционной системы хоста;
- сканирование доступных сетевых портов на протокол передачи файлов системе с целью идентификации соответствующих сервисов (например электронная почта, протокол FTP, сеть и т.д. ) и версий программного обеспечения этих сервисов;
- сканирование одного или нескольких сервисов с известными уязвимостями по диапазону сетевых адресов (горизонтальное сканирование ).
В некоторых случаях технический сбор информации расширяется и переходит в несанкционированный доступ, если, например, злоумышленник при поиске уязвимости пытается получить несанкционированный доступ. Обычно это осуществляется автоматизированными средствами взлома, которые не только производят поиск уязвимости, но и автоматически пытаются использовать уязвимые системы, сервисы и (или ) сети.
Инциденты, направленные на сбор информации, создаваемые не техническими средствами, приводят к:
- прямому или косвенному раскрытию, или модификации информации;
- хищению интеллектуальной собственности, хранимой в электронной форме;
- нарушению учетности, например, при регистрации учетных записей;
- неправильному использованию информационных систем (например, с нарушением закона или политики организации ).
Инциденты могут вызываться, например, следующими факторами:
- нарушениями физической защиты безопасности, приводящими к несанкционированному доступу к информации и хищению устройств хранения данных, содержащих значимые данные, например ключи шифрования;
- неудачно и (или ) неправильно конфигурированными операционными системами по причине неконтролируемых изменений в системе или неправильным функционированием программного или аппаратного обеспечения, приводящим к тому, что персонал организации или посторонний персонал получает доступ к информации, не имея на это разрешения.
2.1.3. Несанкционированный доступ
Несанкционированный доступ как тип инцидента включает в себя инциденты, не вошедшие в первые два типа. Главным образом этот тип инцидентов состоит из несанкционированных попыток доступа в систему или неправильного использования системы, сервиса или сети. Некоторые примеры несанкционированного доступа с помощью технических средств включают в себя:
- попытки извлечь файлы с паролями;
- атаки переполнения буфера с целью получения привилегированного (например, на уровне системного администратора ) доступа к сети;
- использование уязвимостей протокола для перехвата соединения или ложного направления легитимных сетевых соединений;
- попытки расширить привилегии доступа к ресурсам или информации по сравнению с легитимно имеющимися у пользователя или администратора.
Инциденты несанкционированного доступа, создаваемые не техническими средствами, которые приводят к прямому или косвенному раскрытию, или модификации информации, нарушениям учетности или неправильному использованию информационных систем, могут вызываться следующими факторами:
- разрушением устройств физической защиты с последующим несанкционированным доступом к информации;
- неудачной и (или ) неправильной конфигурацией операционной системы вследствие неконтролируемых изменений в системе или неправильного функционирования программного или аппаратного обеспечения.
2.2. Ключевые процессы реагирования на инцидент информационной безопасности.
2.2.1. Обнаружение события информационной безопасности осуществляется любым работником, а также автоматически (например, срабатыванием модуля противодействия мошенничеству ).
В случае обнаружения события информационной безопасности работник обязан:
- принять меры по локализации инцидента: прекратить (приостановить ) работу, выключить компьютер путем «жесткого » отключения питания;
- доложить своему непосредственному руководителю и начальнику отдела информационной безопасности и защиты информации департамента экономической безопасности (ОИБиЗИ );
- при наличии возможности принять меры к сохранению свидетельств инцидента (скриншоты экрана, сохранение копий документов ).
При автоматическом обнаружении события информационной безопасности начальник ОИБиЗИ:
- анализирует причину и группу риска подозрительных программ;
2.2.2. Регистрация инцидента информационной безопасности.
При поступлении информации о событии информационной безопасности начальник ОИБиЗИ с привлечением специалистов департамента информационных технологий проводит анализ информации с целью ее отнесения к инциденту информационной безопасности и формирует отчет (Приложение № 1 к настоящему Порядку ).
Критериями отнесения события информационной безопасности к инциденту является нарушение следующих типов событий:
а) Физический уровень информационной инфраструктуры:
- физический доступ работников и иных лиц в здания и помещения;
- физический доступ работников и иных лиц к средствам вычислительной техники и использование указанными субъектами средств вычислительной техники;
- использование работниками и иными лицами устройств копирования и многофункциональных устройств;
- использование работниками и иными лица аппаратов факсимильной связи;
- изменение параметров настроек средств вычислительной техники, телекоммуникационного оборудования;
- изменение параметров настроек оборудования, обеспечивающего функционирование средств вычислительной техники;
- сбои и отказы в работе средств вычислительной техники, телекоммуникационного оборудования;
- сбои и отказы в работе оборудования, обеспечивающего функционирование средств вычислительной техники;
- сбои и отказы в работе сети телефонной связи;
- отказы в работе сетей передачи данных;
- физическое воздействие на средства вычислительной техники, телекоммуникационное оборудование, средства защиты информации и сети передачи данных;
- изменения климатических режимов помещений, в которых расположены средства вычислительной техники, телекоммуникационное оборудование;
- изменения параметров функционирования сетей передачи данных;
- замена и (или ) модификация программных и (или ) аппаратных частей средств вычислительной техники, телекоммуникационного оборудования;
- осуществление действий с носителями информации, в том числе вынос за пределы территории носителей информации;
- вынос за пределы организации переносных средств вычислительной техники;
- использование переносных средств вычислительной техники на территории объектов организации;
- передача средств вычислительной техники между подразделениями организации;
- передача средств вычислительной техники во внешние организации;
- проведение работниками организации и иными лицами фото- и (или ) видеосъемки в зданиях или помещениях организации;
- проведение мероприятий по доступу к телевизионным системам охранного наблюдения, охранной сигнализации, системам контроля и управления доступом;
- события, формируемые телевизионными системами охранного наблюдения, охранной сигнализации, системами контроля и управления доступом;
- осуществление действий с носителями информации и системами, позволяющими осуществить физический доступ в здания и помещения.
б) Уровень сетевого оборудования:
- изменение параметров настроек сетевого оборудования и программного обеспечения сетевого оборудования;
- изменение состава и версий программного обеспечения сетевого оборудования;
- обнаружение аномальной сетевой активности;
- аутентификация и завершение сеанса работы на сетевом оборудовании;
- изменение топологии вычислительных сетей;
- подключение оборудования к вычислительным сетям;
- сбои в работе программного обеспечения сетевого оборудования;
- обновление программного обеспечения сетевого оборудования;
- выполнение операций по техническому обслуживанию сетевого оборудования;
- использование средств анализа уязвимостей сетевого оборудования;
- обнаружение атак типа «отказ в обслуживании» ;
- смена и (или ) компрометация аутентификационных данных, используемых для доступа к сетевому оборудованию;
- изменение параметров работы средств защиты информации;
- запуск средств анализа топологии вычислительной сети.
в) Уровень сетевых приложений и сервисов:
- идентификация, аутентификация, авторизация и завершение сеанса работников организации и иных лиц;
- изменение параметров настроек, состава и версий программного обеспечения;
- обнаружение вредоносного кода и его проявлений;
- установление соединений и обработка запросов, в том числе удаленных, на уровне сетевых приложений и сервисов;
- сбои и отказы в работе сетевых приложений и сервисов;
- выполнение операций, связанных с эксплуатацией и администрированием сетевых приложений и сервисов;
- обнаружение нетипичных (аномальных ) запросов на уровне сетевых приложений и сервисов;
- отключение/перезагрузка или приостановление работы сетевых приложений и сервисов;
- выполнение операций по предоставлению доступа к использованию сетевых приложений и сервисов, в том числе использованию электронной почты и сети Интернет;
- выполнение операции по архивированию данных сетевых приложений и сервисов, в том числе данных электронной почты;
- осуществление операций по обмену сообщениями, в том числе обмену платежными сообщениями;
- сбои в осуществлении обменом сообщениями, в том числе в обмене платежными сообщениями;
- искажение, модификация сообщений, в том числе платежных сообщений;
- аутентификация сообщений, в том числе платежных сообщений;
- аутентификация автоматизированных рабочих мест — участников обмена сообщениями, в том числе платежными сообщениями;
- завершение/приостановка выполнения сетевых приложений и сервисов по ошибке;
- распространение и (или ) сбор информации с использованием сетевых приложений и сервисов;
- выполнение операций со списками рассылки и адресными книгами;
- наделение работников организации и (или ) иных лиц правами пользователя конкретного пакета сервисов, в том числе сервисов и ресурсов сети Интернет;
- использование средств анализа уязвимостей сетевых приложений и сервисов;
- смена и (или ) компрометация аутентификационных данных, используемых для осуществления доступа к сетевым приложениям и сервисам;
- сбои в работе средств защиты информации;
- переадресация сообщений, в том числе платежных сообщений;
- распространение информации, побуждающей клиента сообщать информацию, необходимую для осуществления действий от его имени;
- внешние воздействия из сети Интернет, в том числе сетевые атаки;
г) Уровень операционных систем:
- аутентификация и завершение работы работников организации и иных лиц, в том числе на уровне системного программного обеспечения, систем управления базами данных и прикладного программного обеспечения;
- изменение параметров конфигурации, состава и версий программного обеспечения уровня операционных систем;
- запуск, остановка и (или ) отключение/перезагрузка программного обеспечения уровня операционных систем;
- обнаружение вредоносного кода и его проявлений;
- установление соединений и обработка запросов с использованием программного обеспечения уровня операционных систем;
- сбои в работе программного обеспечения уровня операционных систем;
- выполнение операций, связанных с эксплуатацией и администрированием программного обеспечения уровня операционных систем;
- обнаружение нетипичных запросов с использованием программного обеспечения уровня операционных систем;
- сбои и отказы в работе средств защиты информации;
- выполнение операций по предоставлению доступа к программному обеспечению уровня операционных систем и информационным ресурсам, обрабатываемым с использованием программного обеспечения уровня операционных систем;
- выполнение операций по архивированию, резервированию и восстановлению информации;
- завершение/приостановка работы программного обеспечения уровня операционных систем по ошибке;
- использование средств анализа уязвимостей программного обеспечения уровня операционных систем;
- смена и (или ) компрометация аутентификационных данных, используемых для доступа к программному обеспечению уровня операционных систем, и информационным ресурсам, обрабатываемым с использованием программного обеспечения уровня операционных систем;
- изменение параметров конфигурации средств защиты информации;
- внешнее воздействие из сети Интернет на программное обеспечение уровня операционных систем;
- создание, авторизация, уничтожение или изменение платежной информации;
- создание, уничтожение или изменение информационных ресурсов, баз данных и (или ) иных массивов информации;
- компрометация аутентификационных данных и ключевой информации;
- выполнение операций со средствами криптографической защиты информации и ключевой информацией.
д) Уровень технологических процессов и приложений и уровень бизнес-процессов:
- выполнение отдельных операций и информационных технологических процессов;
- контроль выполнения операций или процедур;
- осуществление операций или процедур с использованием средств криптографической защиты информации;
- выделение и назначение ролей, в том числе ролей, связанных с обеспечением информационной безопасности.
В случае отнесения события информационной безопасности к инциденту информационной безопасности формируется отчет об инциденте информационной безопасности (Приложение № 2 к настоящему Порядку ).
Инциденты информационной безопасности классифицируются по следующим признакам:
- по степени тяжести последствий для деятельности организации (в денежном выражении, в балльной шкале );
- по степени вероятности повторного возникновения инцидента информационной безопасности;
- по видам источников угроз информационной безопасности, вызывающих инциденты информационной безопасности;
- по преднамеренности возникновения инцидента информационной безопасности (случайный, намеренный, ошибочный );
- по видам объектов информационной инфраструктуры, задействованных (пораженных ) при реализации инцидента информационной безопасности;
- по уровню информационной инфраструктуры, на котором происходит инцидент информационной безопасности;
- по нарушенным свойствам информационной безопасности (конфиденциальность, целостность, доступность );
- по типу инцидента информационной безопасности (свершившийся инцидент информационной безопасности, попытка осуществления инцидента информационной безопасности, подозрение на инцидент информационной безопасности );
- по сложности обнаружения инцидента информационной безопасности;
- по сложности закрытия инцидента информационной безопасности.
Устранение последствий и причин инцидента информационной безопасности
Для устранения последствий и причин инцидента информационной безопасности в организации создается специальная группа, состоящая из следующих специалистов:
- специалисты Департамента Экономической Безопасности;
- специалисты Департамента Информационных Технологий;
- специалисты Юридического департамента;
- специалисты Управления по работе с персоналом;
- специалисты Службы внутреннего аудита;
- специалисты других необходимых подразделений.
Все процессы устранения последствий и причин инцидентов, типизированных по признаку принадлежности нарушения какой-либо политики информационной безопасности, должны обязательно документироваться. Документирование сценариев реагирования на каждый возможный инцидент информационной безопасности проводится экспертным путем и оформляется в виде набора соответствующих регламентов и правил. Задачей Департамента Экономической Безопасности является сдерживание инцидента информационной безопасности, то есть принятия всех необходимых мер для локализации инцидента информационной безопасности и препятствующих его распространению. Сроки устранения последствий и причин инцидента зависят от уровня инцидента.
Ключевыми процессами устранения последствий и причин инцидентов являются:
- определение конкретных параметров нарушения (нападения), его характера (конкретных сегментов сети, серверов, групп рабочих станций, приложений, затронутых нападением );
- предварительный анализ действий нарушителя и сценария, произошедшего (происходящего ) нападения, алгоритма работы появившегося вируса и т.п.;
- блокирование действий нарушителя (если нарушение является длящимся );
- блокирование (полное или частичное ) работы информационной системы (сервера, базы данных, сегмента сети и т.п. ) с целью недопущения дальнейших разрушительных действий, распространения вредоносных программ или утечки конфиденциальной информации.
Прекращение нападения и восстановление нормальной работы информационных систем требует скоординированных действий не только сотрудников организации, но и:
- пользователей атакованных информационных систем;
- партнеров, имеющих отношение к атакованным информационным ресурсам;
- разработчиков и поставщиков атакованных информационных систем;
- поставщиков телекоммуникационных услуг, через которых осуществляется атака.
Заключительным этапом процесса устранения последствий и причин инцидентов является локализация ущерба, причиненного инцидентом информационной безопасности, который включает:
- смену скомпрометированных паролей отдельных пользователей;
- переустановку поврежденных операционных систем, а также поврежденного программного обеспечения;
- восстановление нарушенной конфигурации (настроек ) программного обеспечения и операционных систем;
- восстановление поврежденной информации (баз данных, файлов ), как из ранее созданных резервных копий, так и другими способами.
В процессе восстановления работоспособности информационных систем на некоторое время могут быть задействованы резервные (альтернативные ) аппаратные и программные платформы.
Кроме того, необходимым завершающим шагом может быть дополнительная информационная работа, которая включает:
- рассылку информации о произошедших инцидентах (в виде обязательных отчетов, специальных писем и бюллетеней, публикация на сайте организации );
- передачу некоторых сведений в средства массовой информации;
- передачу сведений крупным группам реагирования на инциденты, связанные с информационной безопасностью (таким как, например, CERT/CC ), а также в научно-исследовательские центры, занимающиеся проблемами защиты информации;
- дополнительную информационную работу с поставщиками информационных систем и подрядчиками, осуществлявшими их поставку, внедрение и настройку.
Расследование инцидента информационной безопасности
Для проведения внутреннего расследования назначается должностное лицо (группа расследования ), имеющее навыки проведения подобных расследований.
4.1. Полная оценка ситуации
Данная оценка определяет текущее и потенциальное воздействие инцидента на бизнес организации, позволяет идентифицировать затронутую инфраструктуру и как можно полнее оценить ситуацию и быстрее определить соответствующее направление работы.
Для получения полной оценки ситуации:
- для описания ситуации используются вся возможная информация, ее потенциальные опасности, потенциально затрагиваемые стороны и, если возможно, информацию о подозреваемой стороне;
- оценивается, затрагивает ли инцидент данные клиентов, финансовые или конфиденциальные данные организации. Оценивается потенциальное влияние инцидента на репутационный риск организации;
- проводится анализ воздействия инцидента на бизнес организации, определяется количество времени и ресурсов, необходимых для полной ликвидации последствий инцидента, время простоя, стоимость поврежденного оборудования, оценивается возможная потеря доходов и стоимость разглашенной конфиденциальной информации. Такая оценка должна быть реалистичной. Фактические затраты на преодоление последствий инцидента определяются позднее;
- идентификация всех вовлеченных в инцидент лиц и их интервьюирование, документирование всех результатов интервью;
- восстановление и сохранение информации (файлы журналов ) внешних и внутренних устройств сети, таких как систем сетевой защиты и маршрутизаторов, которые могли бы находиться на возможном пути атаки;
- получение общедоступной информации, типа IP-адреса и имени домена, для возможной идентификации атакующего.
Для проведения идентификации, анализа и документирования сетевой инфраструктуры и компьютеров, затронутых инцидентом, необходимо выполнить следующее:
- идентификация сети, вовлеченной в инцидент, количество, типы и роли затронутых инцидентом компьютеров;
- изучение топологии сети, включая детальную информацию о серверах, сетевых аппаратных средствах, системах сетевой защиты, подключениях к Интернет;
- идентификация внешних запоминающих устройств;
- идентификация удаленных компьютеров, подключаемых к сети;
- фиксация сетевого трафика.
Для исследования состояния приложений и операционных систем на компьютерах, которые затрагивает расследование, используются инструментальные средства (например, файлы журналов Windows, Windows Sysinternals PsTools и др. ).
4.2. Сбор доказательств
На стадии сбора доказательств нужно учесть, что если инцидент становится больше, чем просто внутреннее расследование и требует обращения в правоохранительные органы, то вполне возможно, что все процессы, используемые для сбора доказательств.
Доказательства должны содержать следующую информацию:
- начальная оценка воздействия инцидента на бизнес организации;
- детальная топология сети с подробными указаниями о том, какие компьютерные системы и каким образом скомпрометированы;
- результаты интервью с пользователями и администраторами скомпрометированных систем;
- результаты любых юридических и сторонних взаимодействий;
- сообщения и файлы журналов, сгенерированные инструментальными средствами, используемыми на стадии оценки;
- предложенное направление и план действий.
Сбор цифровых доказательств выполняется локально или по сети. Преимуществом локального сбора данных является большее управление компьютером и соответствующими данными. Однако локальный сбор данных не всегда возможен. В случае сбора данных по сети, необходимо учитывать тип собираемых данных и усилия, которые для этого потребуются.
В процесс сбора данных создается документация, которая позволит идентифицировать и подтвердить подлинность собранных доказательств включая следующую информацию:
- Кто выполнил действие и почему?
- Что этим пытались достигнуть?
- Как конкретно выполнено действие?
- Какие при этом использованы инструменты и процедуры?
- Когда (дата и время) выполнено действие?
- Какие результаты достигнуты?
При проведении расследования, как правило, используется комбинация автономных и интерактивных методов. При проведении автономных расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. Поразрядная копия - законченная копия всех данных из целенаправленного источника, включая информацию загрузочного сектора, разделов и свободного дискового пространства. Автономный метод расследования применяется всегда, когда это возможно, так как это уменьшает риск повреждения оригинального доказательства. Данный метод может использоваться только в тех случаях, когда может быть создана соответствующая копия и не может быть использован для сбора некоторых энергозависимых данных.
4.3. Анализ данных
При анализе сетевых данных используется следующая процедура:
- исследование сетевых лог-файлов;
- исследование системы сетевой защиты, прокси-сервера, системы обнаружения вторжения и лог-файлы служб удаленного доступа и сетевого монитора;
Анализ данных рабочих станций включают информацию о таких компонентах, как операционная система и установленные приложения.
Анализ носителей данных для определения их причастность (или непричастности ) к инциденту. При этом необходимо установить факт применения шифрования данных на основе ключей реестра, а также инструментальные средства восстановления файлов.
По результатам анализа данных готовится заключение, в котором устанавливаются причины инцидента для принятия превентивных мер, и лица, виновные в возникновении инцидента.
Выявление нарушителя - задача не всегда выполнимая, особенно при выявлении сложных и удаленных атак, но в случае внутренних нарушений это почти всегда удается. Работа по идентификации виновника (виновников ) зависит от множества факторов: полноты свидетельств, их непротиворечивости, сложности инцидента и т.д. Кроме того, свидетельства должны однозначно указывать на виновного и характеризовать наличие или отсутствие умысла. В случае, когда установить виновного удалось, можно выносить рекомендации о привлечении его к ответственности (в том числе обращаться в суд в роли истца - в целях компенсации нанесенного материального ущерба ).
Реализация действий, предупреждающих повторное возникновение инцидента информационной безопасности
После устранения последствий инцидента проводятся следующие мероприятия:
а) Организационные:
- совершенствование политик информационной безопасности;
- проведение дополнительного обучения сотрудников, ознакомление с правилами обращения с конфиденциальной информацией;
- разработка соответствующих регламентов;
- правовая оценка документов (договоры ДБО; документы, регламентирующие режим конфиденциальности, и т.п.) ;
- доведение до сотрудников информации о недопустимости несанкционированной передачи конфиденциальной информации за пределы организации и ответственности за нарушение установленных в организации правил;
- ограничение доступа сотрудника к конфиденциальной информации;
- вынесение предупреждений и другие меры административного характера.
б) Технические:
- установка средств защиты информации;
- модернизация или замена компонентов информационных систем;
- пересмотр и настройка минимальных прав доступа;
- аудит защищенности, тесты на проникновение;
- другие.
Хранение отчетов о событии информационной безопасности и отчетов об инцидентах информационной безопасности осуществляется отделом информационной безопасности и защиты информации в течении пяти лет, после чего данные отчеты сдаются на архивное хранение.
Приложение № 1
информационной безопасности
Отчет о событии информационной безопасности
| Дата события | |||||||||
| Номер события*: | Соответствующие идентификационные номера событий и (или) инцидентов (если требуется): | ||||||||
| Информация о сообщающем лице | |||||||||
| Фамилия | Должность | ||||||||
| Подразделение | |||||||||
| Телефон | Электронная почта | ||||||||
Описание события информационной безопасности
Описание события:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие
Подробности о событии информационной безопасности
Дата и время наступления события
Дата и время обнаружения события
Дата и время сообщения о событии
___________________ ____________ _____________________
(должность) (подпись) (расшифровка подписи)
Приложение № 2
к Порядку обработки инцидентов
информационной безопасности
Отчет об инциденте информационной безопасности
_______________
* Номера инцидентов привязываются к номеру(ам) соответствующих событий.
Описание инцидента информационной безопасности
Дополнительное описание инцидента:
Что произошло
Как произошло
Почему произошло
Пораженные компоненты
Негативное воздействие на бизнес
Любые идентифицированные уязвимости
Подробности об инциденте информационной безопасности
Дата и время возникновения инцидента
Дата и время обнаружения инцидента
Дата и время сообщения об инциденте
Тип инцидента информационной безопасности
| (Сделать отметку в одном из квадратов, затем заполнить ниже соответствующие поля) | Действительный | | Попытка | | Предполагаемый | | |||||||
| (Один из) | Намеренная | | (указать типы угрозы) | ||||||||||
| Хищение (ТН) | | Хакерство/логическое проникновение | |||||||||||
| (НА) | | ||||||||||||
| Мошенничество (FR) | | Неправильное использование ресурсов | |||||||||||
| (MI) | | ||||||||||||
| Саботаж/физический ущерб (SA) | | Другой ущерб (OD) | | ||||||||||
| Вредоносная программа (MC) | | ||||||||||||
| Определитель: | |||||||||||||
| (Один из) | Случайная | | (указать типы угрозы) | ||||||||||
| Отказ аппаратуры (HF) | | Другие природные события (NE) | | ||||||||||
| Отказ ПО (SF) | | Определить: | |||||||||||
| Отказ системы связи (CF) | | потеря значимых сервисов (LE) | | ||||||||||
| Пожар (HE) | | недостаточное кадровое обеспечение (SS) | | ||||||||||
| Наводнение (FL) | | Другие случаи (ОА) | | ||||||||||
| Определить: | |||||||||||||
| (Один из) | Ошибка | | (указать типы угрозы) | ||||||||||
| Операционная ошибка (OE) | | Ошибка пользователя (UE) | | ||||||||||
| Ошибка в эксплуатации аппаратных средств (НЕ) | | Ошибка проектирования (DE) | | ||||||||||
| Ошибка в эксплуатации ПО (SE) | | Другие случаи (включая ненамеренные ошибки) (ОА) | | ||||||||||
| Определить: | |||||||||||||
| Неизвестно | | (Если еще не установлен тип инцидента ИБ (намеренный, случайный, ошибка), то следует сделать отметку в квадрате «неизвестно» и, по возможности, указать тип угрозы, используя сокращения, приведенные выше) | |||||||||||
| Определить: | |||||||||||||
Поражение активы
| Пораженные активы (при наличии) | (Дать описания активов, пораженных инцидентами ИБ или связанных с ним, включая (где требуются), серийные, лицензионные номера и номера версий) | ||
| Информация/данные | |||
| Аппаратные средства | |||
| Программное обеспечение | |||
| Средства связи | |||
| Документация | |||
Негативное воздействие/влияние инцидента на бизнес
Сделать отметку в соответствующих квадратах для указанных ниже нарушений, затем в колонке «значимость» указать степень негативного воздействия на бизнес по шкале 110, используя следующие сокращения (указатели категорий): (FD) — финансовые убытки/разрушение бизнес-операций, (СЕ) — коммерческие и экономические интересы, (PI) — информация, содержащая персональные данные, (LR) — правовые и нормативные обязательства (это необходимо сравнить с английским оригиналом), (МО) — менеджмент и бизнес-операции, (LG) — потеря престижа (см. примеры в приложении В). Записать кодовые буквы в колонке «указатели», а если известны действительные издержки, — указать их в колонке «стоимость».
| Значимость | Указатели | Издержки | ||
| Нарушение конфиденциальности (то есть несанкционированное раскрытие) | | |||
| Нарушение целостности (то есть несанкционированная модификация) | | |||
| Нарушение доступности (то есть недоступность) | | |||
| Нарушение неотказуемости | | |||
| Уничтожение | |
Общие расходы на восстановление после инцидента информационной безопасности
Разрешение инцидента
| Дата начала расследования инцидента ИБ | ||
| Фамилия(ии) лица (лиц), проводившего(их) расследование инцидента | ||
| Дата разрешения инцидента ИБ | ||
| Дата окончания воздействия | ||
| Дата завершения расследования инцидента ИБ | ||
| Место хранения отчета о расследовании |
Причастные к инциденту лица/нарушители
Описание нарушителя
Действительная или предполагаемая мотивация
| Определить: | ||
| Действия, используемые для разрешения инцидента информационной безопасности |
||
| (например, «никаких действий», подручными средствами", «внутреннее расследование», «внешнее расследование с привлечением…») | ||
| Действия, запланированные для разрешения инцидента | ||
| (включая возможные приведенные выше действия) | ||
| Прочие действия | ||
| (например, по-прежнему требуется проведение расследования, но другим персоналом) | ||
Заключение
| (Сделать отметку в одном из квадратов, является ли инцидент значительным или нет, и приложить краткое изложение обоснования этого заключения) | Значительный | | Незначительный | | |||||
| (Указать любые другие заключения) | |||||||||
| Оповещенные лица/субъекты | |||||||||
| (Эта часть отчета заполняется соответствующим лицом, на которое возложены обязанности в области ИБ и которое формулирует требуемые действия. Обычно этим лицом является руководитель ИБ организации) | Руководитель службы ИБ | | Руководитель Банка | | |||||
| Руководитель (уточнить, какого) подразделения | | Руководитель ДИТ | | ||||||
| Автор отчета | | Руководитель автора отчета | | ||||||
| Полиция | | Другие лица | | ||||||
| (например, справочная служба, отдел кадров, руководство, служба внутреннего аудита, регулятивный орган, сторонняя организация) | |||||||||
| Определить: | |||||||||
Привлеченные лица
| Инициатор | Аналитик | Аналитик | ||||||
| Подпись | Подпись | Подпись | ||||||
| Фамилия | Фамилия | Фамилия | ||||||
| Должность | Должность | Должность | ||||||
| Дата | Дата | Дата | ||||||
| Аналитик | Аналитик | Аналитик | ||||||
| Подпись | Подпись | Подпись | ||||||
Скачать ZIP файл (64961) Пригодились документы - поставь «лайк» или : | ||||||||
Комплексное обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования инцидентов в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц.
Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.
Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.
Входит в комплексные программы
- БТ155
Аудитория
Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.
Предварительная подготовка
Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.
По окончании обучения
Вы приобретете знания по:
- о классификации и видах КИ;
- о наиболее существенных угрозах для компьютерной информации организации и методах защиты от них;
- об основных предпосылках возникновения КИ в организации и методам их предупреждения;
- о методах расследования КИ в РФ и за рубежом, государственных и частных организациях, осуществляющих такие расследования, и конструктивном взаимодействии с ними;
- о юридических основах успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством;
- об основных способах обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий.
Вы сможете:
- Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
- Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
- В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.
Пакет слушателя
- Фирменное учебное пособие
- Подборка юридических и технических документов, справочная информация, а также образцы основных документов в электронном виде, составляемых в ходе расследования КИ
Дополнительно
После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".
Обучение на данном курсе учитывается при получении документов установленного образца в области информационной безопасности в Учебном центре «Информзащита» в соответствии с Положением об условиях получения специалистами документов о повышении квалификации в области защиты информации.
Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.
Программа учебного курса
Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента
- Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
- Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).
Раздел 2. Факторы угроз для информации в организации и их классификация
- Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
- Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
- Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
- "Традиционные" злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
- Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
- Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.
Раздел 3. Основные предпосылки для возникновения КИ
- "Однобокая" или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
- Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
- Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
- Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.
Раздел 4. Расследование КИ в РФ и за рубежом
- Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
- Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
- Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
- Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.
Раздел 5. Основные меры по минимизации нанесенного КИ ущерба
- Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
- План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
- Адекватная политика информационной безопасности. Недопустимость политики реагирования "по факту" КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.
Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба
- Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
- Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
- Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
- Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
- Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.
Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба
- Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
- Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
- Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
- Доказательственное значение файлов протоколов в случае официального и частного расследования .
- Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.
Раздел 8. Практические методы контроля коммуникаций в организации
- Контроль рабочих мест сотрудников. Использование кейлоггеров и "троянских" программ. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов.
- Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
- Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
- Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
- Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.
Раздел 9. Действия в случае возникновения КИ
- Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
- Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
- Выявление и устранение предпосылок, способствовавших возникновению КИ
- Восстановление работоспособности системы после КИ согласно плану ОНРВ
- Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.
Раздел 10. Действия после обращения в государственные органы
- Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
- Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
- Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
- Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
- Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
- Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.
Раздел 11. Изъятие и исследование компьютерной техники и носителей информации
- Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
- Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
- Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.
Раздел 12. Практическая работа - расследование реального инцидента
- Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
- Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
- Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.
Итоговый зачет
Computer Hacking Forensic Investigator
Курс читается по последней версии – V9!
Хакерские атаки – актуальная угроза для многих компаний. Действия злоумышленников могут принести ощутимый репутационный или материальный ущерб, поэтому важно вовремя отследить и минимизировать негативные последствия хакерских инцидентов. Если вы хотите защищать сети компании более эффективно, обязательно пройдите этот курс!
На занятиях вы научитесь успешно выявлять, расследовать и устранять последствия компьютерных преступлений. Вы изучите порядок действий по выявлению фактов проникновения хакера в систему и получите рекомендации по отслеживанию действий потенциального нарушителя.
На курсе не только изучаются теоретические основы расследования хакерских инцидентов. Новые знания слушатели закрепляют выполнением лабораторных работ (всего 39), которые включают практику расследования киберпреступлений, связанных с использованием электронной почты, на мобильных платформах и в облачных сервисах. Практические задания максимально приближены к реальной работе специалистов по информационной безопасности.
В стоимость курса входит официальный учебник EC-Council объемом в 1462 страницы. В нем вы найдете ответы на все вопросы для подготовки к сертификационному экзамену Computer Hacking Forensic Investigator V9 , который стал еще сложнее. Кстати, в нашем центре вы можете сдать его совершенно бесплатно – при условии прохождении этого курса.
После обучения выдается удостоверение о повышении квалификации центра и .
Для кого этот курс?
- Системные администраторы безопасности, инженеры и аудиторы, аналитики и архитекторы, которые работают или собираются работать на средних и крупных предприятиях, вплоть до организаций корпоративного масштаба.
- К основной целевой аудитории данного курса также относятся квалифицированные специалисты в области информационных технологий, включая администраторов предприятий, желающих улучшить свои знания и навыки в области безопасности компьютерных сетей.
- Все, кому интересны процесс и техники расследования хакерских инцидентов.
В курсе изучаются вопросы аварийного восстановления систем. Полученные знания помогут вам в подготовке к сертификации EDRP (EC-Council Disaster Recovery Professional) .
«Лаборатория Касперского», признанный лидер в области разработки решений для обеспечения IT-безопасности, теперь предлагает услуги по расследованию компьютерных инцидентов. Ведущие эксперты в сфере анализа вредоносного ПО в сотрудничестве со специалистами, имеющими большой опыт работы в правоохранительных органах, помогут вам в расследовании компьютерного инцидента и эффективном устранении его последствий.
Оперативный анализ компьютерного инцидента
На данном этапе перед специалистами «Лаборатории Касперского» стоит задача помочь организации взять ситуацию под контроль, восстановить возможную картину происшедшего, определить использованные злоумышленниками инструменты и методы, а также по возможности идентифицировать вовлеченные в инцидент компьютеры и мобильные устройства.
В ходе предварительной консультации по телефону специалисты «Лаборатории Касперского» проинструктируют вас о том, какие действия необходимо немедленно предпринять для локализации и сдерживания инцидента, а также для минимизации возможного ущерба.
Затем специалисты «Лаборатории Касперского» выезжают на место происшествия для выявления затронутых инцидентом устройств и носителей информации, корректного копирования данных для их последующего анализа, а также для оформления документов, необходимых правоохранительным органам для проведения дальнейшего расследования и возбуждения уголовного дела.
Собранные данные тщательно анализируются и проверяются на наличие вредоносного ПО. В случае его обнаружения исследуется способ распространения вредоносного ПО, совершаемые им в системе действия и возможные пути заражения. После этого специалисты «Лаборатории Касперского» составляют рекомендации по удалению вредоносного ПО и ликвидации последствий заражения.
По результатам первого этапа клиенту предоставляются:
- Рекомендации для быстрого восстановления инфраструктуры и бизнес-процессов, затронутых инцидентом
- Корректно оформленные цифровые свидетельства и экспертное заключение, которые могут потребоваться при обращении клиента в правоохранительные органы
- Описание наиболее вероятных механизмов и сценария атаки
Расследование компьютерного инцидента
В некоторых случаях для возбуждения уголовного дела необходимо провести дополнительное расследование, чтобы понять, откуда и как было произведено вторжение, а также установить лиц, причастных к инциденту.
Аналитики «Лаборатории Касперского» работают одновременно по всем направлениям, которые могут помочь расследованию, – от поиска финансовых следов и исследования технических аспектов инцидента до сбора информации в хакерских сообществах и сопоставления ее с фактами, обнаруженными в ходе расследования. Специалисты «Лаборатории Касперского» регулярно обсуждают с клиентом текущие результаты расследования и его дальнейшие перспективы.
По результатам расследования клиент получает итоговый отчет, который отражает результаты всех этапов проведенного расследования, содержит подробную схему инцидента и заключение о выявленном источнике атаки. Как правило, материалов, содержащихся в этом отчете, достаточно для возбуждения правоохранительными органами уголовного дела в отношении конкретных лиц, стоящих за инцидентом. Кроме того, четкое понимание сценария и механизмов атаки позволяет выстроить правильную стратегию защиты от подобных атак в будущем.
Экспертное сопровождение уголовного дела
После возбуждения правоохранительными органами уголовного дела специалисты «Лаборатории Касперского» могут участвовать в его расследовании в качестве официальных представителей клиента. Это позволяет ускорить расследование уголовного дела и повысить вероятность его успешного завершения.
В рамках сервиса «Расследование компьютерных инцидентов» осуществляется аналитическая и информационно-техническая поддержка правоохранительных и следственных органов, подача ходатайств о производстве необходимых следственных мероприятий, участие в них и выполнение других действий, предусмотренных законодательством.
Сотрудничая с «Лабораторией Касперского» на этапе ведения уголовного дела, ваша организация не тратит лишнее время на общение с правоохранительными органами и может быть уверена в том, что наши опытнейшие эксперты используют все имеющиеся в их распоряжении возможности для сбора необходимых доказательств. Вынесение по уголовному делу обвинительного приговора дает возможность обратиться с гражданским иском о компенсации ущерба.
Опыт показывает, что успешное расследование уголовного дела создает компании репутацию «опасной жертвы», после чего другие преступные группировки предпочитают с ней не связываться.
