Повсеместная цифровизация различных отраслей экономики привела к тому, что киберугрозы, связанные с информационной безопасностью, уже давно вышли на лидирующие позиции по величине ущерба. На фоне всего этого особенную значимость приобретает процесс выяснения причин, которые сделали возможными инциденты кибербезопасности. Компаниям требуется вырабатывать меры для устранения последствий и предотвращения таких ситуаций в будущем.
Расследование инцидентов кибербезопасности предполагает выявление причин, которые привели к атаке, а также анализ уязвимостей и ошибок, допущенных в процессе защиты информации. Компании сталкиваются с необходимостью не только минимизировать ущерб, но и разрабатывать эффективные стратегии реагирования, которые позволят в будущем быстрее и точнее предотвращать аналогичные инциденты.
Редакция CISOCLUB поговорила с отраслевыми экспертами, чтобы узнать о наиболее сложных инцидентах в их практике, о самых эффективных инструментах и технологиях для выявления и устранения инцидентов, об особенностях выстраивания работы команд при параллельном расследовании нескольких инцидентов, о примерах успешного предотвращения крупных инцидентов и многом другом. На наши вопросы ответили:

Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность.
Андрей Шабалин, аналитик по информационной безопасности, NGR Softlab.
Виктор Чащин, операционный директор МУЛЬТИФАКТОР.
Валерий Аблеков, технический директор МУЛЬТИФАКТОР.
Даниил Бориславский, директор по продукту Staffcop («Атом безопасность», входит в ГК СКБ Контур).
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ».
Иван Сюхин, руководитель группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар».
Геннадий Сазонов, инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар».
Роман Лихачев, руководитель отдела внедрения и технической поддержки Makves (входит в группу компаний «Гарда»).
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE.

С какими самыми сложными инцидентами вам приходилось сталкиваться, и какие уникальные методы вы применяли для их расследования?
Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность:

Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность
«Один из самых сложных инцидентов, с которыми мне пришлось столкнуться, произошел в результате попадания стиллера паролей в корпоративную сеть. Основная трудность заключалась в том, что наличие вредоносной активности было обнаружено только спустя 10 месяцев. Это значительно усложнило процесс расследования, так как журналы событий хранились только за короткий промежуток времени, что значительно ограничивало возможности для анализа, и было очень тяжело установить первоначальный вектор попадания вредоноса. В качестве данных для расследования были собраны дампы памяти, включая файлы реестра, чтобы исследовать возможные изменения, вызванные стиллером.
Это позволило выявить записи, связанные с установкой и запуском вредоносного ПО. Параллельно с анализом реестра была проанализирована файловая система на наличие подозрительных файлов и их метаданных».
Виктор Чащин, операционный директор МУЛЬТИФАКТОР:

Виктор Чащин, операционный директор МУЛЬТИФАКТОР
«Самый сложный инцидент – когда успешно взламывают тебя самого, а ты уверен, что ко всему готов. Но при этом большая часть расследований взломов – не техническая, а социальная, поиск как злоумышленника, так и заказчика. Поэтому каждый раз такие поиски – уникальны. В нашей практике довелось подключать трансграничные связи, чтобы злоумышленник выдал себя».

Даниил Бориславский, директор по продукту Staffcop («Атом безопасность», входит в ГК СКБ Контур):

Даниил Бориславский, директор по продукту Staffcop («Атом безопасность», входит в ГК СКБ Контур)
«Самые сложные – это инциденты, которые хорошо подготовлены или в которых участвует большое количество человек. На практике, если в инсайдерском инциденте участвуют три и более сотрудников из разных подразделений, раскрыть его практически невозможно, здесь нужен элемент удачи. Если один или двое, то он расследуется, соответственно, чем меньше сообщников, тем легче провести расследование. При этом каких-либо уникальных методов нет, используется весь инструментарий и протоколы, которые есть у клиента».

Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ»:

Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ»
«Самые сложные инциденты, как правило, те, в которых задействованы люди и их эмоции, и те, где присутствует стеганография. Люди не всегда бывают рациональны, особенно если речь касается мести. Она может быть реализована очень по-разному, начиная от слива данных и удаления серверов, заканчивая травлей и саботажем. Например, несправедливо уволенный, по своему мнению, сотрудник превращается в «чеховское ружье».
Оно точно выстрелит, но как и когда — предугадать сложно. Поэтому при работе с людьми стоит брать во внимание не только действующих сотрудников, но и прошлых. Их социальные связи, отношения с оставшимися коллегами и т.д.
Со стеганографией еще больше проблем. Можно придумать бесконечное множество вариантов, как спрятать одну информацию в другой. Из-за этого непонятно, как обнаруживать стеганографию, т.к. нет четкого понимания того, что, как и где вообще нужно искать. А ведь ещё весь процесс нужно бы автоматизировать. Чтобы система сама определяла наличие скрытых данных, способ их сокрытия, умела бы извлекать и анализировать спрятанную информацию. Бороться со стеганографией можно только эрудицией».
Иван Сюхин, руководитель группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»:

Иван Сюхин, руководитель группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»
«Самые сложные расследования, как правило, приходятся на атаки так называемых APT-группировок, которые периодически применяют новые или видоизмененные вариации уже известных атак. То есть сложность может заключаться в самих техниках атакующих. В некоторых случаях атакованная компания имеет сложную инфраструктуру сети, и экспертам нужно больше времени, чтобы разобраться в ее структуре. Это может замедлить расследование.
Например, в одном из расследований мы обнаружили присутствие атакующих, приняли меры, чтобы выкинуть их из сети, но уже через небольшое количество времени обнаружили, что злоумышленники снова проникли в инфраструктуру. Нам стоило немалых трудов выяснить, что группировка возвращалась через эксплуатацию уязвимости в десериализации ненадежных параметров VIEWSTATE в среде .NET.
Это старая не закрытая до конца уязвимость, которая при определенных обстоятельствах создает атакующим возможности для развития атаки. Распознать эксплуатацию этой уязвимости непросто: нужно искать одно специфическое событие в журнале операционной системы, а защититься можно, лишь убедившись, что ключи .Net-приложения обновлены и не скомпрометированы вновь».
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE:

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE
«Наиболее сложные в техническом исполнении атаки, как правило, относятся к классу финансируемых государствами целевых атак (state sponsored APT). Одну из таких атак группировки Strider приходилось расследовать и мне. В ней использовались эксплоиты нулевого дня, руткит, который крайне изобретательно скрывал заражение, и техники для скрытного проникновения и эксфильтрации информации в изолированных сегментах сети с помощью заражения флеш-накопителей. Самым сложным в расследовании таких атак является исследование изощренных инструментов злоумышленников, вредоносных программ, которые в этом случае имели модульную структуру и обладали многоуровневой системой защиты от исследования. Но без понимания принципа действия инструментов атакующих провести расследование и защититься от атаки попросту невозможно. Поэтому приходилось подключать специалистов по реверс-инжинирингу, крайне редких и дорогостоящих исследователей, которые могут разобрать вредоносное ПО или эксплоит и восстановить алгоритм его работы, не имея исходного кода.
С другой стороны, не самые сложные в техническом исполнении атаки также могут приводить к очень сложным с точки зрения реагирования инцидентам. Таковыми как раз являются популярные у финансово мотивированных злоумышленников атаки с шифрованием данных, например атаки Shadow Wolf. Зачастую после них жертва остается с зашифрованной инфраструктурой и перед командой реагирования одновременно стоят две сложные задачи:

Определить способ проникновения в сеть при условии, что большинство журналов с событиями безопасности зашифровано.
Разработать план восстановления инфраструктуры и координировать работы по нему в условиях крайне сжатых сроков и соблюдения всех мер безопасности.

Для выполнения первой задачи приходится заниматься восстановлением фрагментов журналов (file carving) с частично зашифрованных систем, так как шифровальщики зачастую для ускорения своей работы шифруют не весь диск, а только его различные части.
Для выполнения второй задачи приходится привлекать сетевых архитекторов и вникать в бизнес-процессы компании, чтобы выделить минимальное ядро IT-сервисов, запуска которых будет достаточно для выполнения ключевых бизнес-функций».
Какие технологии и инструменты вы считаете наиболее эффективными для быстрого выявления и устранения инцидентов?
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, заявил, что появление EDR-решений довольно сильно изменило реагирование на киберинциденты. Этот инструмент, по словам эксперта, с одной стороны, позволяет быстро выявить атакованные системы, а с другой — удобно и массово провести различные действия по реагированию на них.
«С точки зрения выявления атак EDR-агент собирает гораздо больше событий безопасности с конечного устройства, чем штатный аудит, и предоставляет удобный интерфейс поиска по ним. А также обладает богатой базой правил детектирования, которые можно расширять правилами, характерными именно для злоумышленника, с которым мы столкнулись на конкретном расследовании. Для нас это означает невиданную ранее гибкость и скорость обнаружения: мы можем, обнаружив в ходе первичного исследования новый инструмент злоумышленника, быстро просканировать все устройства в его поиске. Более того, при поиске можно использовать не только сигнатурный метод, который обходят полиморфные экземпляры вредоносного ПО, но и поведенческие правила детектирования, которые обойти гораздо сложнее.
С точки зрения реагирования EDR-агент позволяет «одной кнопкой» осуществить большинство типичных действий, таких как сетевая изоляция хоста, удаление файла, завершение процесса, блокировка учетных записей. Помимо этого, EDR позволяет произвести довольно сложные манипуляции по реагированию, которые ранее выполнялись вручную, такие как цепочка действий из поиска в оперативной памяти сигнатуры, определение, к какому процессу она относится, и завершение этого процесса. Особенно помогает в реагировании то, что все эти действия по проверке и реагированию можно осуществлять массово на всех конечных устройствах».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар»:

Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар»
«Быстро выявлять и устранять инциденты поможет DLP-система с грамотно настроенными правилами политики: точечно под специфику организации, со своевременной актуализацией под текущий момент, в том числе и исторический. Важно эффективно работать с архивом DLP-системы, охватывающим все каналы коммуникации, включая нажатия клавиш, скриншоты и служебные мессенджеры. Расширение функционала DLP может быть достигнуто внедрением мониторинга поведенческой аналитики (технология UBA), что позволит выявлять нарушения на начальных этапах и работать на предотвращение инцидентов.
При максимально добросовестном подходе к вопросам безопасности стоит участвовать в процессе оценки кандидатов при их найме, активно взаимодействовать со всеми подразделениями организации, а также разрабатывать кадровую политику на основе реальных практик самой организации и традиций отрасли, а не опираться только на модные методики».
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», уверен, что эффективность не универсальна и зависит от конкретной компании, ее сферы деятельности, общего уровня ИБ и других факторов.
«То есть на условном заводе эффективен будет промышленный NGFW, а для банков приоритетнее может оказаться совсем другой инструмент или технология. Тем не менее во внутренней безопасности есть универсальные средства защиты, которые подойдут любым компаниям – DLP и DCAP-системы. Они работают с данными, людьми и их эффективностью, а эти вопросы актуальны для любой компании независимо от сферы».
Даниил Бориславский, директор по продукту Staffcop, отметил, что правильнее говорить, какие методы.
«Основной – это собрать максимум информации. И если на этапе сбора что-то пропустить или отсеять, то потом это может оказаться очень важным элементом контекста, который пригодился бы в расследовании, как говорил Шерлок Холмс, нет ничего важнее мелочей. Поэтому нужно иметь систему поиска по любым атрибутам, контенту или направлению, а также хранить данные столько, сколько это требуется».
Валерий Аблеков, технический директор МУЛЬТИФАКТОР:

Валерий Аблеков, технический директор МУЛЬТИФАКТОР
«Для работы с инцидентами в информационной безопасности я рекомендую использовать комплексный подход. Компания МУЛЬТИФАКТОР предоставляет облачное решение, поэтому мы делаем акцент именно на защиту облака. Мы считаем, что на инциденты нужно не только правильно реагировать, но и правильно предотвращать их, а также соблюдать все необходимые меры, чтобы минимизировать число инцидентов.
Говоря о защите и мониторинге облака, в первую очередь, это защита от DDoS и Web Application Firewall, защита доступа администраторов, руководителей и сотрудников с использованием многофакторной аутентификации.
Если в компании несколько продуктов или несколько сервисов, то они должны быть сегментированы по сети. Если у вас есть собственная разработка, то процесс должен быть безопасным. Следует настроить сканер безопасности образов и сделать процесс вывода релизов подконтрольным. Это позволит диагностировать зловредный код на раннем этапе.
Самым важным, конечно же, являются люди. Необходимо проводить обучение сотрудников. Администраторы системы, которые имеют привилегированный доступ, должны быть лояльны к компании и высококвалифицированны. Инженеры безопасности должны иметь профильное образование по информационной безопасности и быть в контексте современных тенденций, регулярно проходить обучение и тренировать остальных сотрудников.
Что касается мониторинга и выявления инцидентов. Важно, чтобы это происходило в единой системе и были настроены уведомления для людей, которые отвечают за безопасность. В качестве единой системы мы используем Wazuh, куда стекаются события безопасности со всех серверов и систем компании.
Проведите в компании киберучения, посмотрите, как ваши инженеры будут реагировать на типовые атаки. Считаю, что такое упражнение может быть самым эффективным для оценки текущего уровня защищённости. Проводите регулярную проверку внешними аудиторами, например, это может быть стандарт PCI DSS, сделайте тест на проникновение (pentest) и скан сети.
Дополнительной системой мониторинга может быть система Grafana с графиками активностей как по сети, запросам API, так и в целом по инфраструктуре. Хорошим инструментом являются логи, где можно настроить поиски по ключевым словам».
Андрей Шабалин, аналитик по информационной безопасности, NGR Softlab:

Андрей Шабалин, аналитик по информационной безопасности, NGR Softlab
«Пожалуй, наиболее эффективными инструментами для аналитика по праву можно считать решения класса SIEM с интегрированными агентами или возможностью подключения EDR-системы. Хорошим дополнением могут стать системы, позволяющие осуществлять анализ сетевого трафика. Подобные комплексы позволяют специалисту видеть действительную картину наиболее широко и прозрачно. Кроме того, важно, чтобы контент, поставляемый с подобными средствами защиты, был актуален для конкретной организации.
Также для повышения эффективности в разрезе метрик типа MTTD (время на обнаружение) хорошей практикой может стать использование инструментов, позволяющих осуществлять предиктивную аналитику. Такие возможности расследователю предоставляют, например, встроенные UEBA-модули или полноценные платформы, осуществляющие полноценный поведенческий анализ с целью выявления аномалий в пользовательской активности. Нельзя забывать, что эффективность всех описанных инструментов значительно сокращается при отсутствии чётко выстроенных SecOps-процессов в организации».
Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность, рассказал, что для быстрого выявления и устранения инцидентов используются следующие инструменты:

Siem для обнаружения подозрительных событий в результате сработок правил корреляции;
Volatility, KAPE, FTK Imager для анализа памяти и сбора артефактов при обнаружении подозрительной активности;
Registry Explorer, RegRipper для работы с реестром.

«Когда дело доходит до анализа логов на наличие определенных событий, сначала удобнее преобразовать их в формат csv/txt. Это упрощает дальнейший поиск с использованием grep в Unix или Select-String в Powershell.
Для устранения инцидента осуществляются следующие действия:

Очистка вредоносных файлов и записей реестра;
Блокировка задействованных IP-адресов на firewall.

После устранения инцидента необходимо провести Lessons Learned, чтобы выявить недостатки в процессе реагирования и исключить возможность повторных инцидентов в будущем».
Были ли случаи, когда стандартные процедуры расследования оказались недостаточными? Как вы адаптировали процессы под нестандартные ситуации?
Виктор Чащин, операционный директор МУЛЬТИФАКТОР, заметил, что с одной стороны, стандартная процедура расследования подразумевает описание процессов и этапов расследования, каждый из которых по-своему уникален для конкретного инцидента. С другой стороны, количество инцидентов, произошедших в компаниях, где я работал, можно пересчитать по пальцам одной руки плохого фрезеровщика, поэтому ответ может быть не самый репрезентативный.
Даниил Бориславский, директор по продукту Staffcop, указал на то, что чем больше злоумышленник знает про систему контроля и управления доступом и информацией, тем лучше он подготовлен к её обходу. Самые популярные ситуации – когда необходимо провести расследование в нескольких системах, например, в DLP или IRM – в них не были зафиксированы факты утечки данных, тогда приходилось подключить DCAP-систему, потому что информация находилась в покое, она не покинула периметр компании, а просто лежала на компьютере.
«Например, сотрудник, собираясь уволиться, решил «прихватить» с собой важную информацию с рабочего компьютера. Он сохранил ее на рабочий стол, а потом, чтобы не оставить следов, выключил компьютер и загрузился с флешки в другую операционную систему (Live USB).
В этой ситуации стандартные системы защиты данных не сработали, потому что они запускались только в основной операционной системе. Сотрудник спокойно скопировал данные на флешку, и никто бы не заметил ничего подозрительного. Именно в таких случаях нам необходимо иметь не одну систему защиты данных, а несколько. Тогда мы могли бы обнаружит такие хитрости и предотвратить утечку информации».
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», уточнил что нестандартные процедуры, с точки зрения вендора, это когда клиенту нужно что-то дополнительно перехватывать, обрабатывать и передавать помимо функционала «из коробки». Например, получать данные из уникального корпоративного мессенджера, «выделять из них мякотку», а потом отдавать какой-нибудь BI-, UEBA- или другой системе.
«Для себя мы решили эту проблему при помощи API. Он позволяет каждый раз не выдумывать велосипед, а удобно брать и отдавать нужные данные в почти любые программы и системы.
Если же от технической части перейти непосредственно к процедуре расследования, то важно по возможности собрать подтверждение инцидента из различных источников. Грубо говоря, если по «логам» из одного источника строится картина нарушения, то она должна коррелировать с данными и из других источников. Возьмём банальный пример: по «логам» видно, что информацию слили из-под учётки Иванова. Однако если посмотреть записи камер, то увидим, что Иванов хранил логин-пароль под клавиатурой, и этим воспользовался коллега Сидоров, чтобы запутать след».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар», заявил, что если говорить о внутренних нарушениях, то в действительности стандартные процедуры расследования оказываются малоэффективными и служат лишь для соблюдения общих порядков и принципов, определенных при их разработке. При проведении расследования, основываясь на принципе добросовестности, никакая стандартная процедура не сможет обеспечить достаточный результат.
«Набор действий, их последовательность, источники информации и приемы работы будут варьироваться в зависимости от конкретного случая. Каждое расследование уникально и требует особого подхода. Выводы, сделанные в ходе расследования и по его завершении, должны документироваться в служебных методичках для целей обобщения положительной практики, а также обсуждаться и анализироваться с коллективом подразделения безопасности.
Необходимо постоянно обновлять и улучшать нормативную базу организации, совершенствовать бизнес-процессы, адаптировать политики DLP и другие инструменты к конкретным случаям и явлениям».
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Был случай в моей практике, когда мы столкнулись с тем, что буквально каждый компьютер в организации был заражен вредоносной программой, которая жила только в оперативной памяти, не имела соответствующего исполняемого файла и при попытке завершить ее или выгрузить из памяти, восстанавливалась в течение нескольких секунд. Пока мы не знали, как работает эта программа, пытались удалять ее на отдельных системах и в группах систем, и частично нам это удавалось. Но при подключении к основному сегменту сети система снова заражалась. Мы также попробовали создать новую чистую инфраструктуру и по одной машине проводить лечение и подключение к новой инфраструктуре — это был очень долгий план. Но даже в этом случае после одной ошибки и подключения зараженной машины новая сеть была полностью заражена в мгновение ока.
Однако после того, как через пару дней подоспели результаты анализа вредоносной программы, стало понятно, что она:

Хранит внутри себя информацию о всех паролях пользователей в домене. При заражении новой системы вредоносная программа пытается извлечь новые пароли из ее памяти и в случае успеха передать их всем соседям по сети;
Регулярно заражает другие машины через штатный механизм удаленного запуска программ Windows с использованием хранимых учетных записей пользователей домена;
Никак не закрепляется в системе и после перезагрузки в памяти не остается. До тех пор, пока она снова не будет заражена соседями.

Стандартные процедуры реагирования в тот раз нам не помогли. EDR-решение тогда мы еще не использовали. Поэтому пришлось прибегнуть к довольно простому, но неочевидному решению: одновременно по расписанию перезагрузить все системы и для подстраховки перевести их в другой домен. Таким образом, те системы, которые по каким-то причинам пропустили перезагрузку, оставались в старом домене и не могли заразить чистый сегмент».
Как выстроить работу команды при параллельном расследовании нескольких инцидентов?
Геннадий Сазонов, инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»:

Геннадий Сазонов, инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»
«Всё зависит от размера команды. Если она состоит из двух человек, то им, конечно, будет сложно параллельно расследовать несколько инцидентов. Если же команда больше (допустим, более 5 человек), то расследование одновременно нескольких инцидентов вполне посильная задача. Первое, что для этого нужно — приоритизация. По первичному описанию инцидентов важно оценить, какого характера сами атаки, на какой стадии каждая из них находится. Например, уже произошедший дефейс сайта, расположенного на внешнем хостинге, не имеющим связи с корпоративной инфраструктурой, менее важный инцидент, чем тот, в котором с хостов атакованной организации были зафиксированы соединения с командными адресами, связанными с операторами программ-вымогателей.
Второе — это разделение на подкоманды. В зависимости от сложности инцидентов и оперативности, с которой нужно реагировать, в некоторых случаях эффективно разделение на подкоманды размером 2-3 человека, один из которых выполняет роль IRM (Incident Response Manager). Он взаимодействует со специалистами заказчика и в целом выполняет следующие функции:

добывает полный контекст инцидента;
запрашивает информацию о структуре корпоративной сети, используемых технологиях, настройках и т.д.;
формирует гипотезы для проверки, определяет какие данные с каких систем нужно исследовать в первую очередь и т.д.;
транслирует промежуточные результаты расследования заинтересованным лицам;
уточняет детали, необходимые членам команды расследования для выполнения их части работ.

Иногда расследовать инцидент может и один специалист, который сочетает в себе функции IRM и технического специалиста по расследованию. Но это редкость.
Третий фактор — это улучшение «обзорности» и совершенствование технологий. Важно иметь технологии и инструменты, позволяющие оперативно получать данные и эффективно их обрабатывать. Например, команда Solar 4RAYS поддерживает свои инструменты для сбора необходимой информации с систем Linux и Windows. Наши утилиты, помимо стандартных артефактов ОС, собирают дополнительные артефакты от различных приложений и популярных средств защиты. Собранные данные, проходят через фильтрацию и загружаются в единую систему, где их прогоняют через различные правила, помогающие обнаружить угрозы. Собственные инструменты помогают аналитикам совместно работать со всей собранной информацией и оперативно «подсвечивать» подозрительную активность. Это ускоряет процесс расследования и высвобождает ресурсы для реагирования на новые вызовы.
Наконец, важна «прокачка» специалистов. Развитие технических навыков позволяет специалистам оперативнее и эффективнее обрабатывать большие объемы входных данных, поступающих в ходе расследования. Развитие «мягких» компетенций позволяет экспертам постепенно брать на себя функции IRM и увеличивает количество мини-команд, которые могут параллельно расследовать несколько инцидентов».
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», рекомендует использовать специализированные инструменты для командной работы. Такие есть у многих вендоров, в том числе встроенные. Например, у нас это Task Manager. В нем можно выстроить взаимодействие команды: ставить задачи, приоритеты, проставлять метрики, делиться комментариями и т.д. Главное, чтобы все члены команды имели доступ к нужной информации и могли делиться ею с коллегами, попутно прикладывая фактуру из системы.
Даниил Бориславский, директор по продукту Staffcop, рассказал, что команды должны работать параллельно.
«Если выстроить работу последовательно, мы потеряем время, которое для нас критично. А если мы распределим задачи и будем раз в день проводить синхрон с командой о достигнутом, о новом контексте и следах, тогда будут находиться в общем едином поле, и каждый день заниматься своей задачей, а потом снова собираться и делиться находками».
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Наша команда чаще всего работает в режиме расследования нескольких инцидентов одновременно, в этом нет ничего необычного. Для эффективной работы над несколькими инцидентами мы закрепляем за каждым из них специалиста в роли менеджера по реагированию. Его функции заключаются в разработке плана реагирования и координации всех работ. При этом отдельные специалисты осуществляют реверс-инжиниринг вредоносного ПО, другие проводят исследование журналов СЗИ, третьи анализируют сами конечные устройства. Эти специалисты (за исключением менеджера по реагированию) не закреплены за одним расследованием и выполняют работы для нескольких проектов параллельно для обеспечения лучшей производительности, ведь зачастую их работа приостанавливается из-за ожидания данных, необходимых для анализа, и в этот момент они могут переключиться на следующий объект анализа».
Какие ошибки наиболее часто совершаются при расследовании инцидентов, и как их избежать на практике?
Андрей Шабалин, аналитик по информационной безопасности, NGR Softlab, отметил, что, вероятно, одна из наиболее часто встречаемых ошибок – поспешность в своих выводах при проведении расследования. Нередко бывают такие случаи, когда аналитик сформировал недостаточно полную картину, например, уцепившись за конкретный индикатор, и из-за этого может совершенно неправильно трактовать инцидент.
«Это вполне объяснимо, когда в организации нормативно закреплены такие метрики, как MTTR (время на разрешение/реагирование), или отсутствует методика ведения расследования. Для того чтобы минимизировать подобные ошибки, аналитику следует быть исключительно последовательным в своей работе при сборе и анализе поступающих данных от источников. Последовательность в данном случае не всегда может являться линейной – в практике встречаются достаточно динамичные плейбуки, содержащие в себе весьма сложную логику. Стоит также понимать, что использование качественных плейбуков в процессах Security Operations, чаще встречается в достаточно зрелых ИБ-подразделениях, в составе которых присутствуют опытные специалисты в области реагирования и расследования. Поэтому главный совет для аналитиков, желающих снизить процент совершаемых ошибок, вероятнее всего, будет заключаться в постоянном обучении и повышении своей экспертизы».
Даниил Бориславский, директор по продукту Staffcop, убеждён, что самая частая ошибка находится в административно-правой части. Абсолютно не подготовиться с точки зрения приказов о назначении, комиссии, о действиях, об итогах, но при этом технически качественно провести расследование.
«Не самая частая, но самая фатальная – это удалить следы. Часто в детективных триллерах говорят, не заходить на место преступления, не топтать улики. В информационной безопасности аналогично. Если работа велась на корпоративном ноутбуке, и произошел инцидент с утечкой, кражей данных, работой инсайдеров, ни в коем случае не форматируете диск. Если есть подозрение, что какие-либо файлы были стерты, украдены, удалены – ни в коем случае не продолжайте на этом ноутбуке работать, потому что так можно стереть информационные следы. Если у вас есть IRM-система – не запускайте «сильную» очистку данных, храните их хотя бы 3 месяца».
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», уверен, что типовые ошибки, на его взгляд, связаны либо с человеческим фактором, либо с неумением работать с инструментом. В первом случае важно соблюдать «золотую середину». Отрабатывать все стоящие варианты до конца, но и не перебарщивать, ночуя на работе. Иначе «замылится глаз». Не менее важно уметь правильно пользоваться арсеналом ИБ-инструментов. Это база, без которой далеко не уедешь.
Геннадий Сазонов, инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»: «Исходя из нашего опыта, можем составить следующих список ошибок, допускать которые не стоит при проведении расследования:

Не уточнять ожиданий заказчика от проведения процедуры расследования. Это касается в основном сторонних команд. Помимо обсуждения деталей самого инцидента важно уточнить у заказчика, ответы на какие вопросы он хочет получить в итоге, и до проведения полномасштабного расследования подсветить, на какие вопросы удастся ответить точно, а на какие ответ может быть только в виде вероятностной оценки.
Например, компания столкнулась с компрометаций инфраструктуры и по итогам расследования хочет получить реальные IP-адреса атакующих для их дальнейшей деанонимизации и привлечения к ответственности. Команде расследования стоит донести до заказчика, что этот вопрос, скорее всего, останется без ответа, так как атакующие практически никогда не проводят атаку напрямую со своих компьютеров, а используют одну или несколько систем для проксирования трафика, а также сервисы для анонимизации. Чаще всего такие системы или сервисы территориально расположены за пределами России и получить необходимые данные от них будет крайне проблематично. Поэтому встретить реальный IP-адрес атакующего — большая удача, которая возможна, скорее в результате его грубейшей ошибки.
Чрезмерное доверие жертве. В некоторых случаях пользователи или системные администраторы сознательно или случайно вводят расследователей в заблуждение. Слепое доверие в таких случаях может завести расследование в тупик.
Сбор неполного контекста инцидента от жертвы. Это в основном касается сторонних команд расследования. Чем больше информации в самом начале, тем быстрее можно обнаружить первые зацепки, которые помогут в оперативном расследовании.

Ошибки на этапе сбора данных:

Всегда необходимо проверять корректность собираемых триажейобразов, второго шанса на сбор может не быть;
Неверный подход при выборе типа собираемых данных. Например, при атаках, связанных с деструктивным воздействием на системы особенно полезными, могут оказать дампы памяти и полные образы накопителей, так как при расследовании таких инцидентов часто приходится «карвить» фрагменты интересующей информации из неразмеченного пространства дисков;
Пренебрежение некоторыми источниками данных. Например, команда расследователей нацелена на анализ только артефактов операционных систем, при этом не собирает журналы прикладного ПО или, что ещё хуже, имеющихся, помимо антивируса, дополнительных средств защиты.
Узкий скоуп расследования. В некоторых случаях это действительно оправдано, когда инцидентом затронута одна или несколько систем, не имеющих доступа к остальной инфраструктуре, однако, когда известно о компрометации нескольких хостов в корпоративной инфраструктуре, необходимо итеративно сканировать системы в ней с как можно большим охватом. Нужно искать индикаторы компрометации индикаторов или сетевые обращения к ним везде».

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, выделил следующие типичные ошибки:

Нейтрализация последствий атаки без расследования ее причин. Например, удаление вредоносной программы без выяснения того, как она попала в систему. Порой доходило до абсурда: в компаниях удаляли Mimikatz на контроллере домена, не разбираясь, как он туда попал. Контролер домена — это критически важная система в инфраструктуре организации, в ней хранятся пароли всех офисных сотрудников, а Mimikatz — это хакерская утилита для извлечения паролей из контроллера домена или других компьютеров. То есть злоумышленник находился в сердце инфраструктуры организации, а сотрудники компании ничего не делали, так как антивирус удалил вредонос: ну удалил же, значит, все хорошо и угрозы больше нет. На самом деле атакующий позже просто использовал другую вредоносную программу и антивирус ее уже не обнаружил.
Удаление важных для расследования данных в ходе реагирования на атаку. Например, мы часто сталкиваемся с восстановлением сайта из бэкапа после его взлома. Но после этого довольно сложно понять, а как именно был взломан сайт, так как необходимые журналы и базы данных забывают сохранить перед восстановлением.
Недоверие к IT-сотрудникам. Подавляющее большинство кибератак, которые мы расследуем, совершаются профессиональными преступными группировками, которые используют типичные недостатки безопасности компаний. Но при этом очень часто мы видим, что компании подозревают своих сотрудников во взломе, даже когда у атаки нет никаких признаков инсайда. Всегда находится какой-то работник IT-служб, например системный администратор, который недавно уволился с каким-то конфликтом. Причем «недавно» — понятие очень относительное, и даже события двухлетней давности вызывают у руководства компании подозрения. Хочется подчеркнуть, что в нашей практике кибератаки с участием сотрудников компании-жертвы были крайне редки и в них, как правило, сразу бросаются в глаза характерные черты, так как профессиональные хакеры используют совершенно другие инструменты и способы атаки.
Неправильная оценка рисков от атаки и, как следствие, неадекватные решения по реагированию. Некорректная оценка может быть в двух вариантах: недооценка рисков и переоценка рисков. Каждый из этих вариантов опасен по-своему. В случае недооценки рисков и слишком легкого отношения к заражению принимается, например, решение отложить устранение уязвимости или удаление вредоносной программы, так как на критически важной зараженной системе можно проводить работы лишь в технологические окна. При этом злоумышленник про эти технологические окна не слышал и проводит шифрование инфраструктуры в пиковые часы. В случае переоценки рисков, наоборот, принимается решение изолировать всю инфраструктуру и приостановить бизнес из-за заражения, ограниченного всего лишь одним компонентом, который можно было бы безопасно изолировать от всей остальной инфраструктуры. В таких случаях реагирование может обходится дороже, чем кибератака злоумышленника.

Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность: «Одна из наиболее распространенных ошибок заключается в том, что специалисты, обнаружив вредоносную активность, начинают искать следы, основываясь на своих предположениях. Вместо того чтобы сосредоточиться на проверке основных моментов, они углубляются в детали, которые могут не иметь отношения к текущему инциденту. Это может привести к потере времени и ресурсов, а также к игнорированию более очевидных улик.
Еще одной распространенной ошибкой является недостаток коммуникации с коллегами. Часто специалисты работают в одиночку, не делясь своими мыслями и находками. Это может снизить эффективность расследования. Коллективная работа позволяет выстраивать более полные теории и проверять информацию с разных точек зрения, что значительно ускоряет процесс анализа и выявления причин инцидента.
Чтобы избежать этих ошибок на практике, важно придерживаться структурированного подхода к расследованию. Начинать стоит с проверки основных, наиболее вероятных источников проблемы. Регулярные обсуждения с коллегами помогут выявить новые идеи и подходы к анализу ситуации.
Также важно документировать все этапы расследования, включая предположения, найденные зацепки и выводы. Это предоставляет возможность вернуться к предыдущим шагам при необходимости, а также не потерять важную информацию».
Можете поделиться примером успешного предотвращения крупного инцидента на раннем этапе расследования?
Даниил Бориславский, директор по продукту Staffcop: «Компания занималась продажей услуг и имела несколько филиалов по всей стране. В каждом филиале был руководитель макрорегиона, и за невыполнение плана работники получали строгие наказания.
В одном из филиалов работал очень токсичный сотрудник. Как позже выяснилось в ходе расследования, он был главным виновником «раскачивания лодки» в этом филиале. Он постоянно говорил о том, что им недоплачивают, и подстрекал коллег к недовольству. Убедил коллег откладывать некоторые платежи на начало следующего квартала, чтобы не выполнить план в текущем, а в последний день месяца попытался организовать «саботаж» – сделать недоступной базу продаж.
Сотрудник службы безопасности с помощью ИБ-системы вовремя заметил негативную переписку. В день X, когда должен был пройти саботаж, ему перекрыли доступ к рабочему компьютеру. Вот так был предотвращен крупный инцидент почти что на раннем этапе».
Роман Лихачев, руководитель отдела внедрения и технической поддержки Makves (входит в группу компаний «Гарда»): «Можем поделиться ситуацией, которая произошла у одного крупного заказчика, использующего систему Makves DCAP. Она была заранее настроена таким образом, чтобы отслеживать и уведомлять о подозрительной активности, соответствующей профилю вируса-шифровальщика. Уведомления отправлялись на несколько почтовых ящиков сотрудников SOC и офицеру безопасности в Telegram.
В один из дней в 6:15 утра система сработала и отправила предупреждение о том, что один из пользователей с внутреннего IP-адреса начал массовые действия с файловыми ресурсами, что по характеристикам совпадало с деятельностью вируса-шифровальщика. Такой профиль активности является крайне подозрительным и действовать нужно было незамедлительно. Сотрудники SOC оперативно начали работу по расследованию инцидента, реагируя по заранее разработанному сценарию. В это время офицер безопасности был также мгновенно оповещён через Телеграм-уведомление. Несмотря на раннее время, он смог быстро принять меры – передал полученную информацию сетевой службе, которая незамедлительно изолировала подозрительный IP-адрес.
Благодаря оперативности действий всех участников процесса и предварительной настройке системы на отслеживание именно такого типа активности, удалось избежать серьёзных последствий. Вредоносное ПО не успело нанести значительного ущерба – ситуация была взята под контроль на самом раннем этапе».
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «При ответе на этот вопрос уместно будет упомянуть проекты по оценке компрометации (Compromise Assessment). Суть этих проектов в том, чтобы провести расследование инцидента, когда инцидент еще не наступил. Это может звучат парадоксально, но на самом деле мы просто исходим из того, что инфраструктура компании скомпрометирована, просто мы пока не знаем об этом. Поэтому проводим поиск злоумышленника внутри этой сети, не имея уверенности, что он действительно в ней есть.
В ходе одного из проектов по оценке компрометации мы установили EDR-агенты на все устройства в компании и обнаружили вредоносную программу для удаленного управления в нескольких системах. Дальнейшее расследование показало, что заражение произошло несколько месяцев назад в ходе атаки с использованием уязвимости в публично доступном сайте. На момент нашего расследования уязвимость уже была устранена, но ее последствия в виде заражения систем — нет. Также выяснилось, что одна из скомпрометированных систем выполняла роль сервера с бэкапами и злоумышленники успели похитить из нее бэкапы внутренней базы данных и контроллера домена. Контролер домена — это критически важная система в инфраструктуре организации, в ней хранятся в пароли всех офисных сотрудников.
Получив доступ к этому хранилищу, злоумышленники могут быстро захватить управление устройствами компании, чтобы, например, зашифровать их. Нам удалось вовремя обнаружить заражение, ликвидировать его и принять меры для защиты от атаки с использованием данных, полученных злоумышленниками из контролера домена, но утечка внутренней базы данных к тому моменту уже произошла, и через несколько недель после окончания проекта злоумышленники ее опубликовали. Однако компания успела предупредить своих клиентов и принять меры для снижения ущерба от этой утечки».
Какие сложности возникают при интеграции новых технологий и методологий в процессы расследования?
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», отметил, что сложность для пользователя – привычка. Нужно привыкнуть к новой методике или к тому, что появился новый инструмент. Банально не забыть что-то использовать или проверить.
Для вендора – выбор самой востребованной технологии и ее реализация. В условиях множества требований, когда одному нужен Linux, а другому Windows, и ограниченности ресурсов – это задача со звездочкой.
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Внедрение новых инструментов и технологий в расследованиях сопряжено с типичной проблемой управления изменениями — сопротивлением людей изменениям, инерции. В первую очередь, это связано с необходимостью переучиваться или тратить время на освоение нового инструмента, «ведь и так же все работало». Но если польза от внедрения новшеств очевидна для команды, то и связанные с этим изменения пройдут легко и быстро. Примером тут может послужить внедрение EDR-решения в пакет инструментов расследователя. Некоторые технологии при внедрении нуждаются в серьезной адаптации и дополнительной работе команды. Таким примером может служить использование машинного обучения для выявления аномалий/инцидентов. И перед тем, как эти технологии начнут приносить серьезную пользу, нужно потратить много ресурсов и времени на их настройку и адаптацию к используемым решениям.
Что касается изменений в методологии расследования, то они чаще всего связаны либо с технологичными изменениями, о которых упоминалось выше, либо с выделением новых ролей в команде. Во втором случае нужно убедиться, что четко прописаны зоны ответственности и отсутствуют слепые пятна в этих зонах. Полезно также будет провести несколько симуляций на тестовых инцидентах, чтобы проверить, как усвоилась новая методология. И только затем применять ее в боевой среде».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар»: «Компетентность — это умение использовать новые технологии и методы, а также наличие квалифицированных специалистов, способных их применять. Однако даже при соблюдении этих критериев в процессе работы могут возникать различные сложности: реорганизации и изменения в штате, отсутствие индексации заработной платы, фокус на ложных показателях эффективности, ошибочные назначения и решения, дискредитирующие руководство, усталость сотрудников, нарушения трудового законодательства со стороны работодателя, недостаточная оснащенность рабочего места (например, размещение в серверной без окон) и многое другое.
Кроме того, когда упомянутые проблемы будут устранены, может возникнуть потребность в обеспечении импортозамещения. Это часто требует не только поиска действительно подходящих альтернатив, но и повторного обучения сотрудников работе с новыми решениями, при этом объемы работы необходимо выполнять в пределах «не меньше, чем вчера».
Даниил Бориславский, директор по продукту Staffcop, заявил, что новая технология, даже самая крутая, не всегда сразу «вписывается» в инфраструктуру компании. Это как новый инструмент в оркестре – его нужно правильно настроить и «подружить» с остальными инструментами, чтобы все работало гармонично.
«Например, если установить новую систему DLP на компьютер, где уже работает другая система безопасности, то могут возникнуть конфликты и система может «зависнуть». Поэтому важно провести тестирование новой технологии в реальном окружении перед ее внедрением, чтобы убедиться, что она совместима с существующей инфраструктурой и не приведет к нежелательным последствиям.
Или инструмент, который внедряется, может хорошо себя вести на тестовом стенде, а в реальной системе эксплуатации начать потреблять очень много ресурсов, и это замедлит работу сотрудников
Например, установили систему мониторинга сетевого трафика, чтобы контролировать все данные, передаваемые по сети. Но в компании оказалось, что все важные файлы хранятся на сетевой папке, поэтому система мониторинга начала сильно тормозить все компьютеры, особенно бухгалтерии».
Как проводить обучение сотрудников для улучшения навыков расследования инцидентов?
Иван Сюхин, руководитель группы расследования инцидентов центра исследования киберугроз Solar 4RAYS ГК «Солар»: «Для начинающих специалистов конечно же нужна база: понимание устройства операционной системы, сетей, артефактов, которые необходимо просмотреть, и тому подобное. Когда такая база есть, то улучшение навыков расследования происходит с опытом, можно назвать это «насмотренностью». Если есть подобная «насмотренность» исследователь гораздо быстрее и эффективнее находит следы атаки, а также не пропускает важные ключевые вещи, которые позволяют продвигать расследование вперед.
Для формализации знаний сотрудники могут проходить международные обучающие курсы и сдавать экзамены, которые подтверждают их квалификацию. В «Соларе» мы передаем знания и обучаем новых сотрудников с использованием менторства, когда более опытные сотрудники проводят обучение новичков на примерах реальных атак. После такого обучения более опытный сотрудник делает ревью выполненных новичком исследований, после чего отдается обратная связь. Получение обратной связи с пониманием того, что необходимо сделать менее опытному сотруднику в дальнейшем, — ключевая история в данном случае».
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE, считает, что лучше всего проводить обучение сотрудников реагированию и расследованию в несколько этапов:

Обучаем теории по жизненному циклу реагирования на инциденты, работе с различными СЗИ, плейбукам по типичным инцидентам, исследованию конечных устройств методами цифровой форензики, анализу и реверс-инжинирингу вредоносных программ, гайдам по составлению отчетов.
Затем оттачиваем теоретические знания на тестовых кейсах. Тестовые кейсы расследований построены на данных из реальных прошлых расследований, и в них есть ожидаемый результат, то есть критерий успеха. На этих кейсах мы проверяем, как сотрудник справляется с задачами расследования в лабораторных условиях, то есть, когда атака не развивается в реальном времени и цена ошибки невысока.
Тренируем сотрудников в киберполигонах реального времени. В предлагаемых сценариях киберполигона атака развивается в реальном времени и необходимо в условиях ограниченного времени принимать правильные решения, основываясь на проанализированных данных, чтобы успеть вовремя предотвратить шифрование или утечку информации. Во время этих сценариев проверяется также такой важный для расследователя навык, как стрессоустойчивость.
Последний этап подготовки — расследования реальных инцидентов вместе с курирующим специалистом. Если у куратора не будет серьезных замечаний, то сотрудник готов справляться с реагированием самостоятельно! Но конечно же, при этом он может и должен просить помощи при столкновении с какими-то сложностями, которые он не знает, как решить.

Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ», уточнил, что навык расследования — это как минимум умение работать с инструментом и понимание того, как тот или иной инцидент может быть реализован. Первому можно научиться на курсах вендоров. Второе приходит с опытом, эрудицией, а также после обмена опытом с коллегами.
«Не менее полезны будут киберучения и ротация кадров. Они позволят отработать теорию на практике и дать сотрудникам поработать над разными задачами, чтобы отдохнуть от рутины».
Даниил Бориславский, директор по продукту Staffcop, считает, что простая брошюра или письмо – это не гарантия безопасности. Нужно проводить тестирование знаний и показывать, как применять новые знания на практике. Например, при обучении защите от фишинга эффективно предложить сотрудникам самостоятельно составить фишинговое письмо. В этом моменте они начинают думать как мошенники, понимать механизмы фишинга и сами себя учат отличать реальные письма от поддельных.
«В целом, структура обучения должна состоять из нескольких шагов:

Первичное – для новых сотрудников;
Систематическое – в игровой или тестовой форме для всех сотрудников для закрепления навыков и знаний;
Текущее, когда из-за изменений требований законодательства, меняется регламент или порядок расследований».

Какие ключевые изменения в расследовании инцидентов произошли за последние несколько лет, и как вы адаптируете к ним свою практику?
Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Как я уже рассказывал, появление EDR-решений довольно сильно изменило реагирование на киберинциденты. Если раньше почти любое расследование сводилось к исследованию образа диска скомпрометированной машины, то позднее стали чаще запрашивать и анализировать лишь отдельные файлы с нужными событиями безопасности («артефакты» в терминах форензики), а теперь и вовсе чаще всего достаточно событий, полученных от EDR-решений.
Это, в свою очередь, и изменило навыки, необходимые специалистам для эффективного расследования. Понимание принципов работы EDR-решения, его особенностей стало гораздо важнее, чем навыки работы с образами дисков и супертаймлайном (огромная таблица со всеми событиями из всех артефактов, которые можно извлечь из образа диска. Ее очень любят форензики старой закалки).
Хотя в упомянутых навыках и не отпала необходимость совсем, но они стали куда менее востребованными. В свою очередь, использование EDR-решений очень ускорило сами проекты по реагированию и стратегии, которые выбираются при составлении планов реагирования. Ранее чаще принимался подход последовательной сетевой изоляции инфраструктуры, исследования систем, затем лечения и восстановления систем и, наконец, снятия изоляции.
Это было необходимо в силу того, что злоумышленник имел возможность быстро распространиться по сети и выполнить деструктивные действия. А у команды реагирования недоставало инструментов для уверенного и быстрого обнаружения и блокировки этих действий. Сейчас зачастую анализ проводится без изоляции, потому что так диктуют требования бизнеса и у команды реагирования есть инструменты для оперативного выявления и пресечения вредоносной активности».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар»: «Информационная безопасность не может ограничиваться лишь защитой персональных данных, игнорируя при этом происходящие в обществе процессы. В последние 2-3 года, в ходе пилотного внедрения DLP-систем, заказчики стали более внимательно относиться к теме не только выявления нарушений, но и анализа истинных предпосылок и причин их возникновения. Особенно это касается таких отраслей, как оборонная, энергетическая и государственные структуры, где DLP-системы начали использовать для выявления экстремистских проявлений, наклонностей и интересов среди сотрудников.
В то же время заказчики все более внимательно относятся к источникам поставки сырья и материалов. В условиях нарушенной кооперации с рядом восточноевропейских стран, а также в свете недружественного отношения некоторых из них, никто из руководителей предприятий не хочет, чтобы в СМИ появлялись сообщения о том, что, например, «в ходе выполнения государственного оборонного заказа предприятие закупало сырье у потенциального или фактического противника».
Для решения этих задач в политику DLP-системы Solar Dozor на пилотных проектах включается, например, справочник «Города Украины», что позволяет выявлять упоминания в трафике поставляемого сырья, например, «свёрла от Полтавского механического завода».
Даниил Бориславский, директор по продукту Staffcop, заявил, что ключевых два:

Усиление внимания государства к расследованию инцидентов, появление оборотных штрафов за утечки информации, которые стимулируют развитие рынка;
Искусственный интеллект (ИИ) становится все более важной частью расследований инцидентов. От анализа больших данных, языковых моделей до генерации фиктивных атак и проверки самой системы – ИИ меняет сферу кибербезопасности. Мы активно внедряем ИИ в свои инструменты и помогаем клиентам освоить новые возможности. Наша задача – не только использовать ИИ в работе, но и обучить клиентов работать с ним эффективно.

Леонид Диденко, специалист по информационной безопасности, Астрал.Безопасность: «В последние несколько лет расследование инцидентов меняется в основном из-за эволюции методов работы злоумышленников. Они становятся всё более изощрёнными, применяя технологии для сокрытия своих действий и очищения следов, что значительно усложняет процесс расследования. Это влечет за собой использование новых подходов и инструментов для эффективного анализа инцидентов.
Одним из ключевых изменений является необходимость более глубокого понимания тактик, техник и процедур (TTP) злоумышленников. Важно не только выявлять следы, но и предугадывать возможные действия противника. Это требует постоянного мониторинга новых угроз и анализа трендов киберпреступности.
Также помогает использование искусственного интеллекта в процессе расследования. Инструменты, основанные на машинном обучении, позволяют быстрее обрабатывать большие объёмы данных и выявлять аномалии, которые могут указывать на вредоносную активность».
Как вы проводите мониторинг и оценку эффективности расследования инцидентов, и какие метрики для вас важнее всего?
Даниил Бориславский, директор по продукту Staffcop: «Самая главная метрика – это время:

Время обнаружения: чем раньше вы обнаружите инцидент, тем меньше ущерба он может нанести;
Время локализации, то есть, что и где произошло: взлом, утечка данных, неправильное действие сотрудника;
Время устранения: как быстро вы устранили последствия инцидента. Например, нужно быстро накатить патч безопасности, закрыть порт на файрволе, восстановить утерянные данные.

Чем меньше времени уходит на каждый этап, тем лучше».
Алексей Дрозд, начальник отдела информационной безопасности, «СёрчИнформ»: «Оценка эффективности ИБ — сложный вопрос, на который нет универсального ответа. Все очень индивидуально для каждой компании и если вводить общие метрики, то работа может превратиться в соответствие этим метрикам, а не в реальную пользу.
Тем не менее, я верю, что оценка уровня ИБ должна касаться не только ИБ-специалистов, но и обычных пользователей. Подобное, кстати, реализовала Microsoft. Ввела ИБ-метрику для всех работников, которая учитывается при выплате премий».
Виталий Петросян, эксперт центра защиты данных Solar Dozor ГК «Солар»: «К сожалению, вынужден отметить, что в качестве нанимателей специалистов по выявлению и расследованию выступают лица, ориентированные исключительно на достижение финансовых показателей. В результате в ряде организаций внедряются практики оценки деятельности с использованием KPI (ключевых показателей эффективности). Я нахожу этот способ оценки недопустимым для подразделений обеспечения безопасности. Ведь разумный человек никогда не скажет и не будет сожалеть, что затраченные на сигнализацию средства не окупились, потому что его так и не ограбили.
В связи с этим я сталкиваюсь с тремя подходами при оценке эффективности мониторинга и расследования инцидентов:

Классический подход: установление всех значимых обстоятельств, причин и следствий выявленного и расследованного инцидента, определение полного круга вовлеченных лиц и процессов, а также разработка способов предотвращения нарушения в будущем.
Подгонка под KPI: формирование показателей, не отражающих реальную ситуацию, и искажение данных для достижения установленной цели.
Комбинированный подход: совмещение классического подхода с подгонкой под KPI и добавление личных интерпретаций, что приводит к созданию видимости активности подчиненных и ложного понимания ситуации со стороны руководства».

Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, BI.ZONE: «Для повышения качества и оценки эффективности расследований важно реализовать контроль на всех этапах проекта:

за ключевыми этапами расследования (первичный сбор команды, составление плана реагирования, изоляция зараженных систем, исследование атаки, восстановление работы);
корректностью набора данных для исследования в зависимости от типа атаки и используемых СЗИ;
своевременностью передачи рекомендаций и применения мер по реагированию;
коммуникациями между командой реагирования и подразделениями компании-жертвы;
корректностью идентификации угрозы и плана по дальнейшим шагам, направленным на ее сдерживание и нейтрализацию, — техническое и административное ревью отчетов.

Помимо этого, мы собираем фидбэк у клиентов после проведенного расследования, чтобы убедиться, что команда давала понятные и четкие инструкции и была тактична и своевременна в коммуникациях. Меньше всего в ходе расследования жертва атаки хочет выслушивать нравоучения от специалистов по кибербезопасности, поэтому тактичность также является важным качеством специалиста по расследованию».