Для успешного расследования инцидентов кибербезопасности критически важно максимально полно и своевременно сохранить все цифровые следы, которые могут быть связаны с произошедшим событием. Это позволит экспертам восстановить ход событий, установить причину произошедшего и определить масштаб ущерба.
Цифровые данные очень изменчивы, и их легко потерять или изменить, поэтому оперативное и правильное сохранение материалов является залогом качественного экспертного заключения. Чем быстрее после обнаружения инцидента будут предприняты шаги по сбору и фиксации информации, тем выше вероятность получения полной и достоверной картины произошедшего. Любые действия с затронутыми системами или данными после инцидента могут привести к безвозвратной утере ключевых доказательств или их модификации, что существенно затруднит или сделает невозможным проведение эффективной экспертизы инцидентов кибербезопасности (Digital Forensics and Incident Response - DFIR). Наша задача в таких случаях — использовать эти следы для анализа, чтобы выявить злоумышленника, его методы и цели, а также разработать рекомендации по предотвращению подобных инцидентов в будущем.
При подготовке материалов для экспертизы необходимо позаботиться о нескольких ключевых категориях цифровых следов. Прежде всего, это всевозможные логи: системные логи операционных систем (Windows Event Logs, /var/log в Unix-подобных системах), логи приложений, веб-серверов (Apache, Nginx), баз данных, а также логи безопасности, генерируемые межсетевыми экранами (файрволами), маршрутизаторами, системами обнаружения/предотвращения вторжений (IDS/IPS). Эти записи могут содержать информацию о попытках несанкционированного доступа, изменениях конфигурации, загрузке вредоносного программного обеспечения и других аномальных действиях. Важно сохранять логи не только за период инцидента, но и за предшествующий ему, а также после него, чтобы иметь возможность отследить динамику и потенциальные изменения.
Крайне важным является создание полных образов жёстких дисков всех скомпрометированных или подозрительных систем. Это предполагает побитовое копирование, которое сохраняет абсолютно все данные, включая удалённые файлы, метаданные и артефакты файловых систем, которые могут быть невидимы обычными средствами. Также необходимы дампы оперативной памяти (RAM-дампы) затронутых устройств, поскольку оперативная память содержит летучие данные, такие как активные процессы, сетевые соединения, ключи шифрования, данные о текущих сессиях пользователей и вредоносные процессы, которые могут не оставлять следов на жёстком диске. Кроме того, при наличии, рекомендуется сохранять записи сетевого трафика (в формате PCAP), поскольку они являются прямым доказательством активности в сети и могут помочь идентифицировать источник атаки, передаваемые данные и используемые протоколы.
Помимо технических данных, для успешного расследования необходимы и другие материалы. Описание инцидента, составленное сотрудниками организации, с указанием даты и времени обнаружения, первоначальных признаков и предпринятых действий, является отправной точкой для экспертов. Также важно предоставить информацию о сетевой инфраструктуре организации (схемы сети, распределение IP-адресов), конфигурации затронутых систем, данные об используемом программном обеспечении, системах резервного копирования и восстановления. Если инцидент связан с данными в облачных хранилищах или сервисах, потребуется доступ к соответствующим облачным журналам и снимкам виртуальных машин. Очень полезными будут результаты работы систем мониторинга, антивирусных решений, а также данные из систем управления информационной безопасностью и событиями (SIEM-систем).
Для обеспечения достоверности и целостности собранных материалов, при их изъятии следует строго придерживаться определённых процедур. Все действия по сбору доказательств необходимо протоколировать, фиксируя дату, время, кто и каким образом выполнил действие, какие инструменты использовались. Сами цифровые носители после изъятия должны быть опечатаны и сопровождаться актом передачи. Эти меры критически важны для формирования так называемой «цепочки непрерывности доказательств», которая гарантирует, что предоставленные данные не были изменены или скомпрометированы после инцидента. Наши эксперты могут консультировать вас по вопросам правильного сбора и сохранения информации при обнаружении инцидента.
Для получения точного перечня необходимых материалов, консультации по их сбору и предварительной оценки перспектив расследования вашего конкретного случая, пожалуйста, свяжитесь с нами, заполнив форму на сайте или позвонив по указанному телефону.
