От обнаружения инцидента до цифровой криминалистики, анализа malware и подготовки отчёта.
Почему компании продолжают проигрывать кибератаки
Если посмотреть на отчёты по кибербезопасности последних лет, можно заметить одну интересную вещь.
Количество атак растёт.
Сложность атак растёт.
Стоимость атак растёт.
А вот уровень защиты компаний — не всегда.
Проблема в том, что многие организации до сих пор думают о безопасности примерно так:
«Нужно поставить антивирус, firewall и всё будет нормально».
На практике всё работает иначе.
Современная атака редко выглядит как «вирус, который сразу всё ломает».
Чаще это долгий и тихий процесс проникновения в инфраструктуру.
Типичный сценарий выглядит так:
фишинговое письмо
заражение компьютера
закрепление в системе
повышение привилегий
перемещение по сети
кража данных или шифрование инфраструктуры
И иногда между первым доступом и реальной атакой проходят месяцы.
Поэтому сегодня основной вопрос безопасности звучит так:
не «можно ли предотвратить атаку»,
а «насколько быстро мы её обнаружим».
События безопасности и инциденты
Любая IT-система генерирует огромное количество событий.
Например:
вход пользователя
запуск процесса
открытие файла
сетевое соединение
изменение конфигурации
В крупных инфраструктурах таких событий могут быть миллионы в сутки.
Но только часть из них является проблемой.
Поэтому важно понимать разницу между двумя понятиями:
Security Event — событие безопасности
Security Incident — инцидент безопасности
Событие — это просто факт действия.
Инцидент — это событие, которое:
нарушает политику безопасности
указывает на атаку
может привести к ущербу.
Разница между обычными событиями системы и реальным инцидентом безопасности
Три принципа безопасности
Если открыть любой стандарт по информационной безопасности — например ISO 27001 — почти всегда всё начинается с одной модели.
Она называется CIA-triad.
CIA — это три фундаментальных принципа безопасности:
Confidentiality
Integrity
Availability
Именно вокруг них строится вся система защиты.
Конфиденциальность
Конфиденциальность означает, что данные видят только те, кому это разрешено.
Пример нарушения конфиденциальности:
утечка базы клиентов
доступ к медицинским данным
публикация внутренней документации компании.
Для защиты конфиденциальности используют:
контроль доступа
шифрование
DLP системы
многофакторную аутентификацию.
Целостность
Целостность означает, что данные не были изменены.
Иногда злоумышленнику даже не нужно красть данные.
Достаточно их исказить.
Например:
изменить финансовые транзакции
подменить конфигурацию сервера
изменить исходный код приложения.
Доступность
Доступность означает, что система работает тогда, когда она нужна.
Самый известный пример нарушения доступности — DDoS-атаки.
Сервер получает огромное количество запросов и просто перестаёт отвечать.
Три фундаментальных принципа информационной безопасности
Почему происходят инциденты
Причины инцидентов обычно довольно банальны.
И почти никогда не связаны с «гениальными хакерами».
На практике чаще всего это:
1. Уязвимости ПО
Любое программное обеспечение содержит ошибки.
Некоторые из них позволяют злоумышленнику получить доступ к системе.
Классический пример — уязвимость EternalBlue.
Она стала причиной атаки WannaCry.
2. Ошибки конфигурации
Очень частая проблема.
Например:
база данных открыта в интернет
сервер доступен без аутентификации
слабые пароли администратора.
По статистике, огромная часть утечек данных происходит именно из-за таких ошибок.
3. Социальная инженерия
Иногда ломать систему вообще не нужно.
Можно просто обмануть пользователя.
Например:
фишинговое письмо
поддельная страница входа
звонок «от службы безопасности».
4. Инсайдеры
Иногда угрозы исходят изнутри компании.
Это могут быть:
недовольные сотрудники
ошиб��и персонала
случайная утечка данных.
Классификация инцидентов
Инциденты безопасности обычно делят на несколько категорий.
Самые распространённые:
сетевые атаки
вредоносное ПО
утечки данных
инсайдерские угрозы
компрометация аккаунтов
атаки отказа в обслуживании.
Основные категории инцидентов информационной безопасности
Критичность инцидентов
Все инциденты делятся по уровню критичности.
Типичная шкала выглядит так:
Low
Medium
High
Critical
На практике критичность определяется несколькими факторами:
количество затронутых систем
тип данных
влияние на бизнес
вероятность повторения атаки.
Оценка критичности инцидентов информационной безопасности
Что происходит после обнаружения атаки
Если система обнаружила инцидент — это только начало.
Дальше начинается Incident Response.
Это процесс реагирования на инцидент.
Он включает несколько этапов:
подготовка
обнаружение
анализ
сдерживание
устранение
восстановление.
Жизненный цикл реагирования на инциденты безопасности
Почему Incident Response важнее антивируса
Многие компании до сих пор думают, что безопасность — это просто набор защитных средств.
Но практика показывает:
защита может быть пробита.
И тогда единственное, что спасает компанию — быстрое реагирование.
Хорошая IR-команда может:
обнаружить атаку
изолировать заражённые системы
остановить распространение
восстановить инфраструктуру.
Именно поэтому сегодня крупные компании создают SOC — Security Operations Center.
Это центры мониторинга безопасности, которые работают 24/7.
Что такое Incident Response
Incident Response — это процесс реагирования на инциденты информационной безопасности.
Если упростить:
Incident Response — это система действий, которая позволяет обнаружить атаку, остановить её и минимизировать ущерб.
В крупных компаниях для этого создаются специальные команды.
Обычно это:
SOC-аналитики
специалисты по реагированию
специалисты по цифровой криминалистике
инженеры безопасности.
Иногда этот процесс автоматизирован частично.
Но в критических ситуациях человеческая экспертиза всё равно незаменима.
Жизненный цикл реагирования на инциденты
Практически во всех методологиях используется похожая модель.
Она состоит из шести этапов.
Подготовка
Обнаружение
Анализ
Сдерживание
Устранение
Восстановление
Это замкнутый цикл.
После завершения одного инцидента организация должна улучшить свою систему безопасности, чтобы предотвратить повторение.
Этап 1 — Подготовка
Подготовка — это самый недооценённый этап.
Многие организации начинают думать о реагировании уже после атаки.
Это ошибка.
Подготовка включает:
разработку политик безопасности
создание плана реагирования
обучение сотрудников
внедрение систем мониторинга
создание команды реагирования.
Что входит в инфраструктуру реагирования
Типичная инфраструктура включает:
SIEM системы
EDR решения
системы мониторинга сети
системы обнаружения вторжений
инструменты цифровой криминалистики.
Без этих инструментов обнаружить атаку практически невозможно.
Компоненты системы реагирования на инциденты
Этап 2 — Обнаружение атаки
Обнаружение — это момент, когда система понимает, что происходит что-то подозрительное.
Это может происходить несколькими способами.
Например:
анализ журналов системы
мониторинг сетевого трафика
обнаружение аномалий
сигнатуры вредоносного ПО.
Роль SIEM
SIEM — это система управления событиями безопасности.
Она выполняет несколько функций:
сбор логов
корреляцию событий
обнаружение подозрительных действий.
Например, SIEM может обнаружить ситуацию, когда:
пользователь вошёл в систему из другой страны
затем скачал большой объём данных
затем подключился к внутренним серверам.
Отдельно каждое событие может быть нормальным.
Но вместе они могут указывать на атаку.
Поток событий безопасности и обнаружение аномалии
Этап 3 — Анализ инцидента
После обнаружения начинается анализ.
Задача специалистов — понять:
что произошло
как произошла атака
какие системы затронуты
насколько серьёзна угроза.
Этот этап часто занимает больше всего времени.
Потому что атака может быть сложной.
Что анализируют специалисты
В процессе анализа изучаются:
журналы системы
сетевые соединения
процессы на компьютерах
активность пользователей.
Иногда анализ включает десятки источников данных.
Процесс анализа цифровых следов атаки
Этап 4 — Сдерживание атаки
Когда специалисты понимают, что происходит, начинается containment — сдерживание.
Цель — не дать атаке распространиться дальше.
Это может включать:
изоляцию заражённых систем
отключение сетевых сегментов
блокировку учётных записей
остановку подозрительных процессов.
Иногда приходится отключать целые сервисы.
Это неприятно, но иногда необходимо.
Изоляция заражённого сегмента сети
Этап 5 — Устранение угрозы
После сдерживания нужно удалить причину атаки.
Это называется eradication.
На этом этапе выполняется:
удаление вредоносных программ
закрытие уязвимостей
обновление систем
изменение паролей.
Иногда требуется полная переустановка системы.
Очистка системы от вредоносных компонентов
Этап 6 — Восстановление
После устранения угрозы система должна вернуться к нормальной работе.
Это включает:
восстановление данных из резервных копий
запуск сервисов
тестирование системы
усиленный мониторинг.
Возвращение инфраструктуры к нормальной работе
Почему реагирование — это не конец истории
После завершения инцидента работа не заканчивается.
Организация должна:
провести анализ инцидента
выявить причины
изменить процессы безопасности
обновить политики.
Это называется post-incident review.
Именно так компании улучшают свою безопасность.
Что такое Digital Forensics
Цифровая криминалистика — это процесс сбора, анализа и интерпретации цифровых доказательств.
Если сравнить с классическим расследованием преступлений, то специалисты по безопасности работают примерно так же, как криминалисты.
Только вместо:
отпечатков пальцев
следов обуви
видеозаписей
они анализируют:
журналы системы
сетевой трафик
процессы
файлы
действия пользователей.
Главная задача цифровой криминалистики — восстановить последовательность событий.
То есть ответить на вопрос:
что именно произошло внутри системы.
Основные этапы цифрового расследования инцидента безопасности
Как начинается расследование инцидента
Обычно расследование начинается с обнаружения подозрительной активности.
Например:
неизвестный процесс на сервере
соединение с подозрительным IP
массовое скачивание данных
вход администратора в необычное время.
После этого аналитики начинают собирать данные.
Источники данных для расследования
В ходе расследования используется множество источников информации.
Наиболее важные из них:
Системные журналы
Практически каждая система ведёт логи.
Например:
Windows Event Logs
Linux system logs
журналы приложений.
Сетевые журналы
Сетевые устройства также фиксируют события.
Например:
firewall logs
proxy logs
DNS запросы.
Данные endpoint систем
Современные системы безопасности собирают информацию с рабочих станций.
Это может включать:
список процессов
изменения файлов
сетевые соединения
действия пользователей.
Основные источники цифровых доказательств при расследовании инцидента
Почему анализ malware важен
Очень часто причиной инцидента становится вредоносное программное обеспечение.
Поэтому одной из ключевых задач расследования является анализ вредоносного ПО.
Злоумышленники используют malware для:
получения удалённого доступа
кражи данных
шифрования инфраструктуры
скрытого наблюдения.
Поэтому если в системе обнаружен подозрительный файл, специалисты должны понять:
что делает программа
как она распространяется
какие данные она передаёт.
Основные типы вредоносного ПО
Существует несколько основных категорий malware.
Вирусы
Самораспространяющиеся программы, которые заражают другие файлы.
Трояны
Программы, которые маскируются под легитимное ПО.
Сетевые черви
Malware, который распространяется через сеть без участия пользователя.
Spyware
Программы, собирающие информацию о пользователе.
Ransomware
Вредоносное ПО, которое шифрует данные и требует выкуп.
Основные категории вредоносных программ
Методы анализа вредоносного ПО
Существует два основных подхода к анализу malware.
Статический анализ
При статическом анализе программа изучается без запуска.
Специалисты анализируют:
структуру файла
используемые библиотеки
строки в коде
сигнатуры.
Этот метод безопасен, но иногда не позволяет увидеть поведение программы.
Динамический анализ
При динамическом анализе программа запускается в изолированной среде.
Например:
виртуальная машина
sandbox среда.
Специалисты наблюдают:
сетевые соединения
создание файлов
изменение реестра
взаимодействие с системой.
Статический и динамический анализ вредоносного ПО
Как выглядит процесс анализа malware
На практике анализ вредоносного файла проходит несколько этапов.
Получение подозрительного файла
Первичный анализ
Запуск в sandbox
Анализ поведения
Формирование индикаторов компрометации.
Пайплайн анализа вредоносного программного обеспечения
Индикаторы компрометации
Одним из ключевых результатов анализа являются IOC — Indicators of Compromise.
IOC — это технические признаки того, что система была скомпрометирована.
Примеры IOC:
IP адреса злоумышленников
домены C2 серверов
хэши вредоносных файлов
подозрительные процессы.
IOC используются для:
поиска заражённых систем
блокировки атак
обнаружения похожих инцидентов.
Примеры индикаторов компрометации
Threat Intelligence
Современные расследования редко ограничиваются только внутренними данными.
Специалисты активно используют Threat Intelligence.
Threat Intelligence — это информация о киберугрозах, которая собирается из различных источников.
Например:
базы IOC
отчёты аналитических компаний
данные из OSINT
коммерческие threat feeds.
Источники данных для анализа киберугроз
Реальный пример: атака WannaCry
Один из самых известных инцидентов последних лет — атака WannaCry.
Она произошла в 2017 году и стала одной из крупнейших ransomware атак.
Malware использовал уязвимость Windows EternalBlue.
Атака распространялась автоматически через сеть.
В результате было заражено более 200 тысяч компьютеров.
Особенно сильно пострадали:
медицинские учреждения
транспортные компании
государственные организации.
Глобальное распространение атаки WannaCry
Реальный пример: атака NotPetya
Ещё более разрушительной стала атака NotPetya.
Она распространялась через обновление популярного украинского бухгалтерского ПО.
После заражения malware распространялся по сети, используя уязвимости Windows.
В отличие от классического ransomware, цель NotPetya была не выкуп.
Это был деструктивный malware, который фактически уничтожал инфраструктуру.
Ущерб для компаний составил миллиарды долларов.
Цепочка распространения атаки NotPetya
Почему документирование инцидентов критически важно
Многие организации совершают одну и ту же ошибку.
После того как атака остановлена и системы восстановлены, команда безопасности просто «закрывает тикет» и идёт дальше.
Но это неправильный подход.
Если не провести анализ инцидента, то:
атака может повториться
уязвимость останется
процессы безопасности не улучшатся.
Поэтому в зрелых компаниях существует обязательный этап:
post-incident analysis.
Что должен содержать отчет об инциденте
Хороший отчет по инциденту обычно содержит несколько ключевых разделов.
1. Описание инцидента
В этом разделе указывается:
дата обнаружения
краткое описание атаки
тип инцидента.
2. Хронология событий
Очень важно восстановить последовательность событий.
Например:
10:15 — фишинговое письмо 10:18 — запуск вредоносного файла 10:22 — соединение с C2 сервером 10:30 — попытка распространения по сети
Такая хронология помогает понять как развивалась атака.
3. Технический анализ
Этот раздел описывает:
используемое malware
методы проникновения
затронутые системы.
4. Принятые меры
Здесь указывается:
какие действия были предприняты
какие системы были изолированы
какие учетные записи заблокированы.
5. Рекомендации
Самый важный раздел.
Он отвечает на вопрос:
что нужно изменить, чтобы атака не повторилась.
Структура отчета по инциденту информационной безопасности
Как выглядит итоговый отчет расследования
После завершения анализа формируется итоговый отчет.
Он обычно содержит:
источник атаки
используемые уязвимости
затронутые системы
уровень критичности
последствия для бизнеса.
Этот документ может использоваться:
руководством компании
юридическими службами
регуляторами.
В некоторых случаях он может даже стать частью судебного расследования.
Основные результаты расследования инцидента
Как устроен SOC
Во многих компаниях реагирование на инциденты выполняет специальный центр — SOC (Security Operations Center).
SOC — это команда специалистов, которая занимается:
мониторингом безопасности
обнаружением атак
расследованием инцидентов.
SOC обычно работает круглосуточно.
Типичная структура SOC
В большинстве компаний SOC имеет несколько уровней.
L1 — аналитики мониторинга
Их задача — анализировать события безопасности.
Они работают с:
SIEM
логами
алертами.
L2 — аналитики расследования
Эти специалисты проводят более глубокий анализ.
Они:
изучают подозрительную активность
анализируют malware
определяют масштаб инцидента.
L3 — эксперты безопасности
Это наиболее опытные специалисты.
Они занимаются:
сложными расследованиями
разработкой правил обнаружения
улучшением систем безопасности.
Почему атаки всё равно происходят
Даже в компаниях с хорошей безопасностью инциденты происходят.
Причин несколько.
Сложность инфраструктуры
Современные системы очень сложны.
Они включают:
облака
микросервисы
API
множество интеграций.
Каждый элемент может стать точкой атаки.
Человеческий фактор
Сотрудники продолжают оставаться слабым звеном.
Фишинг остаётся одним из самых эффективных методов атаки.
Новые уязвимости
Каждый год обнаруживаются тысячи новых уязвимостей.
Некоторые из них становятся основой масштабных атак.
Как компании должны строить защиту
Сегодня эксперты по безопасности всё чаще говорят о модели:
assume breach
Это означает:
нужно исходить из того, что злоумышленник уже находится в системе.
Поэтому безопасность должна строиться вокруг:
обнаружения
мониторинга
реагирования.
Многоуровневая модель современной кибербезопасности
Практические рекомендации
Если обобщить опыт расследования инцидентов, можно выделить несколько ключевых рекомендаций.
1. Логи должны храниться долго
Многие расследования требуют анализа событий за несколько месяцев.
2. Нужен централизованный сбор логов
Без SIEM анализ инцидентов становится почти невозможным.
3. Нужно регулярно проводить учения
Команда должна быть готова к атакам.
Поэтому многие компании проводят tabletop exercises.
4. Резервные копии критически важны
Многие компании восстановились после ransomware только благодаря бэкапам.
5. Нужно инвестировать в Threat Intelligence
Информация о новых угрозах помогает обнаруживать атаки быстрее.
Вместо вывода
Современная информационная безопасность — это не только защита.
Это способность обнаруживать атаки и правильно реагировать на них.
Ключевые элементы этой системы:
мониторинг
реагирование
цифровая криминалистика
анализ вредоносного ПО
Threat Intelligence.
Именно эти процессы позволяют организациям выживать в условиях постоянных кибератак.
