Оптимизация процесса расследования инцидентов. Ольга Гутман

Поговорили с генеральным директором “МКО-Systems” Ольгой Гутман об оптимизации расследований киберпреступлений.

Ольга рассказала какие инструменты помогают цифровым криминалистам в проведении расследований инцидентов, какие продукты компании облегчают задачи по извлечению данных, их анализу и построению таймлайна.

 

Расскажи пожалуйста, что такое DFIR? С чем его можно ассоциировать для тех, кто не понимает?

Это достаточно узкая и специализированная область информационной безопасности.

Расшифровывается аббревиатура как цифровая криминалистика и реагирования на инциденты.

Главная цель DFIR - инструментов, DFIR - решений — установить полную глубокую картину инцидента, чтобы она была прозрачна через несколько достаточно объемных задач.

Во-первых — это извлечение данных из исследуемых источников.

Во-вторых, их анализ.

В-третьих, составление отчета на финальном этапе.

Главная цель DFIR — помочь специалистам провести расследование инцидента.

А вот все-таки, какие именно расследования свойственны для применения решений DFIR?

Какого-то определенного класса инцидентов, которые хуже или лучше расследовались бы с DFIR- решениями, как правило, нельзя выделить. Потому что DFIR- решения универсальны. Можно расследовать инсайдерство, мошенничество, утечку персональных и конфиденциальных данных, кибератаки, фишинг, шифровальщики, вредоносы и т.д.

Но все-таки в каких-то может быть более эффективно?

Нет, хорошее комплексное DFIR-решение должно быть ключиком к любому инциденту. Где-то в большей степени оно поможет где-то в меньшей, в зависимости от того насколько много цифровых следов осталось при инциденте на исследуемом источнике.

Что все-таки можно сделать благодаря продуктам “МКО-Systems”?

Во-первых, это извлечь данные из разного типа цифровых источников:

• извлечь физический образ или файловую систему из мобильных устройств;
• извлечь данные, которые хранит в себе облачный сервис, соответственно, из облачного сервиса;
• извлечь физический образ карты памяти;
• извлечь данные, подчеркну, что не физический образ, именно если касается наших продуктов, из рабочих станций? из серверов и затем отправить их также на анализ,
• и из других цифровых источников: сим карты, дроны, умные часы и многое другое.

На рынке достаточно много подобных решений, особенно если говорить то, что было до всех событий, на российском рынке DFIR - сегмент достаточно разнообразен. Можете назвать своих конкурентов?

Из тех продуктов, которые полнокомплексные остались, пожалуй, только мы сейчас такие на рынке, а если брать кусочками, то есть. Коллеги, которые специализируются на отдельных сегментах — это компания «Элкомсофт», БалтИнфоКом, но это такие наши очень добрые, как коллеги, конкуренты, потому что мы со всеми этими компаниями общаемся поддерживаем связь, дружим. Общаемся на профессиональном языке, если есть какие-то предположения, можем обсудить без каких-то технические подробностей.

Компания Оксиджен, которая сейчас уже называется, как МКО-Systems имеет большую историю. Как компания пришла к тому, чтобы заниматься именно форензикой и создавать именно эти DFIR-решения?

Опыт именно в форензике у нас больше 15 лет. Начинали мы с предоставления решений правоохранительному сегменту. Для это сегмента решения называются просто это форензик-решения или цифровая криминалистика.

Именно к DFIR мы пришли чуть больше 4 лет назад.

Когда началось более усиленное государственное регулирование расследования инцидентов в корпоративной среде. В принципе, началось статистическое, качественное и количественное увлечение инцидентов в корпоративной среде, и компании начали их расследовать. Хотя бы начали приходить к тому пониманию, что инцидент нужно расследовать, что нельзя относиться, так: «что произошло, ну и произошло».

Тогда мы и решили поделиться тем опытом, который у нас накопился на то время с новым для нас сегментом рынка. Могу сказать, что из года в год, как мы развиваем свой продукт, который предназначен именно для корпоративного сегмента МК Enterprise, все больше мы видим на рынке понимание того, что инциденты нужно расследовать самостоятельно.

Как именно ваше решение помогает в расследовании?

Многофункциональные комплексные решения, как правило, решают 3 глобальные задачи:

1. Извлечение данных из самых разных цифровых источников.

• Во-первых, можно получить физический образ или файловую систему из мобильных устройств.
• Во-вторых, извлечь данные, которые хранятся в облачных сервисах соответственно. Иногда никак не подступиться к данным даже на андроид-устройствах. Единственный способ — это получить данные из облаков.
• Третье — это извлечение данных из рабочих станций, извлечение данных из серверов. Далее это получение данных карт памяти дронов, умных часов и многого другого.

 

2. Второй пул задач, второй этап в проведении расследования — анализ этой информации.

• DFIR - решения предоставляют различные аналитические инструменты, самые популярные, по мнению наших пользователей, это хронология событий, выстраивание таймлайн. Плюс мы разные функции в таймлайн именно вносим.
• Поиск, причем различных данных, по различным ключевым показателям
• Подробная работа с контактами и коммуникациями внутри исследуемого извлечения. Т.е. можно воссоздать социальный граф, который позволит установить с кем общался человек, с какими группами, определить косвенные связи между источником, который вы исследуете и контактами, которые так или иначе оказались внутри его устройства. Если задействовано несколько устройств в инциденте соответственно, такой граф вообще можно построить между несколькими устройствами. Он будет достаточно сложный, но подробно показывать кто с кем, когда какие виды переписок, какие виды общения.

По-моему, это киллер-фича, за которую можно отдать кучу денег. Просто безумно интересно.

И как итог все выводится в Третий пул задач: формирование отчетности, на основании которой затем, как правило в корпоративных организациях, создается регламент для предотвращения аналогичных инцидентов или если регламент есть, вносятся какие-то определенные корректировки. Самое главное в конце проведения расследования с помощью DFIR-инструмента вы должны ответить на вопросы:

• Кто стал 0 пациентом.
• Какой объект, какая уязвимость позволила инциденту произойти.
• Насколько большой ущерб от инцидента понесла организации.
• Задействованы ли еще какие-либо машины в организации инцидента.

Но и самое главное — это найти виновного. И какие шаги следует предпринять, собственно, это прописывается в регламенте, чтобы такого инцидента не повторилось в будущем.