Использование методов форензики при расследовании инцидентов компьютерной безопасности Текст научной статьи по специальности «Компьютерные и информационные науки»

□

БЕЗОПАСНОСТЬ ЦИФРОВОГО СЕРВИСА

УДК 004.056

ИСПОЛЬЗОВАНИЕ МЕТОДОВ ФОРЕНЗИКИ ПРИ РАССЛЕДОВАНИИ ИНЦИДЕНТОВ КОМПЬЮТЕРНОЙ БЕЗОПАСНОСТИ

Е.В. Майорова1, А.В. Черток2

1 Санкт-Петербургский государственный экономический университет (СПбГЭУ),

191023, г. Санкт-Петербург, ул. Садовая, 21;

2ЗАО «МоБильный Капитал», 192148, Россия, Санкт-Петербург, ул. Крупской, д. 51, корп. 2, лит А.

В статье изложена методика обработки инцидентов информационной безопасности с применением методов форензики. Наиболее подробно рассмотрен этап расследования инцидента.

Ключевые слова: форензика, расследование инцидентов, информационная безопасность

USING FORENSIC TECYNIQUES.IN INVESTIGATING COMPUTER SECURITY

INCIDENTS

E.V. Majorova, A.V. Chertok

St.Petersburg State University of Economics (SPbGEU), 191023, Saint-Petersburg, Sadovaya st., 21;

ЗАО «МоБильный Капитал», 192148, Россия, Санкт-Петербург, ул. Крупской, д. 51, корп. 2, лит А. The article describes the method of handling information security incidents using forsensic techniques. The most detailed consideration is the stage of incident investigation.

Keywords: forensics, incident investigation, information security

Обработка инцидентов компьютерной безопасности, как правило, требует значительного планирования и ресурсов. Поэтому разработка эффективной методики обработки инцидентов в контексте анализа данных, связанных с инцидентами, и определения соответствующего ответа на каждый инцидент, применимой независимо от конкретных аппаратных платформ, операционных систем, протоколов или приложений, является сложной и актуальной задачей. Решение этой задачи может обеспечить использование методов форензики.

Форензика - прикладная наука о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств. Форензика является подразделом криминалистики [1].

На данный момент основным документом, регламентирующим стандарты обеспечения информационной безопасности, стал

КО/1ЕС 27000:2016, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией (в России также существуют стандарты ГОСТ, разработанные на основе более ранних версий КОЛЕС). Указанные стандарты предполагают создание документированной и утверждённой процедуры обработки инцидентов информационной безопасности.

Обработка инцидента информационной безопасности включает следующие основные этапы [2]:

- обнаружение инцидента и оповещение о его возникновении;

- регистрация инцидента;

- устранение причин и последствий инцидента;

- расследование инцидента;

- реализация действий, предупреждающих повторное возникновение инцидента.

1Майорова Елена Витальевна - кандидат технических наук, доцент кафедры Вычислительных систем и программирования СПбГЭУ, тел.: 89112150446, e-mail: chertok83@mail.ru, СПбГЭУ;

2Черток Александр Витальевич, специалист по информационной безопасности ЗАО «МоБильный Капитал», тел.: 89522382931, e-mail: avchertok@yandex.ru

Отчёт о расследовании

Рисунок 1 - Алгоритм обработки инцидента

На рисунке 1 показана схема алгоритма обработки инцидента (крупными стрелками указывается область применения методов форензики) [3].

1. Обнаружение инцидента и

оповещение о его возникновении

При обнаружении инцидента необходимо незамедлительно начать процедуру оповещения. Инциденты информационной безопасности могут иметь различные источники происхождения, и организация должна быть готова к любым проявлением вредоносной активности, однако на практике это неосуществимо, что рано или поздно приводит к возникновению событий информационной безопасности.

Событиями называются изменения состояния объекта или области мониторинга информационной безопасности, действия сотрудников организации или иных лиц, которые указывают на возможный инцидент.

Инцидентом, в свою очередь, называется событие или их комбинация, указывающие на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности, результатом которой являются:

- нарушение в системе обеспечения информационной безопасности организации, включая нарушение работы средств защиты информации;

- нарушение требований законодательства Российской Федерации, нормативных актов и предписаний регулирующих и надзорных органов, внутренних документов организации в области обеспечения ИБ, нарушение в выполнении процессов системы менеджмента информационной безопасности организации;

- нарушение в выполнении технологических процессов организации;

- нанесение ущерба организации или её клиентам [4].

В организации должна быть разработана и внедрена система оповещения об инцидентах. Создание цепочки оповещения необходимо для поддержания должного уровня управления организацией во время обработки инцидента. Состав команды оповещения и способ оповещения разрабатываются с учётом особенностей функционирования и структуры организации.

В основе разработки модели оповещения лежит сценарный (ролевой) принцип, заключающийся в привлечении, помимо руководства организацией, руководящего персонала затронутых инцидентом подразделений. Необходимо организовать проведение соответствующей подготовки сотрудников, входящих в состав команды оповещения [5].

2. Регистрация инцидента

Регистрация инцидента делится на практике на первичную, в момент обнаружения сотрудником, и вторичную, в момент расследования ГРИИБ (группы реагирования на инциденты информационной безопасности).

В состав ГРИИБ рекомендуется включать следующий состав ролей:

- куратор, обеспечивающий организацию работы группы;

- руководитель, осуществляющий оперативное управление группой;

- оператор-диспетчер, осуществляющий мониторинг событий информационной безопасности;

- аналитик, выполняющий оценку событий;

- секретарь, формирующий аналитические отчёты для представления куратору и руководителю [4].

В ходе расследования инцидента ГРИИБ может взаимодействовать с третьими сторонами (рис. 2).

Другие ГРИИБ

Клиенты и медиа

I

Интернет-провайдер

Поставщики услуг

Группа реагирования на инциденты

ФСТЭК/ФСБ/ Министерство обороны

Правоохранительные органы

Рисунок 2 - Взаимодействие ГРИИБ с третьими сторонами

Документирование всех этапов обработки инцидента информационной безопасности является необходимым элементом для проведения расследования (документированию подлежат все факты и доказательства злонамеренного воздействия).

3. Устранение причин и последствий инцидента

Непосредственно после уведомления соответствующих должностных лиц о произошедшем инциденте и его фиксации необходимо совершить действия реагирования, а именно устранения причин и последствий события. Все этапы этих процессов должны быть описаны в регламентах в виде перечней общих действий для наиболее значимых событий, конкретных шагов и сроков применения мер. Необходимо также предусмотреть ответственность за неприменение установленных мер или недостаточно эффективное их применение [6].

4. Расследование инцидента

Методы форензики при расследовании инцидентов позволяют лучше понять рассматриваемый инцидент, обнаружить и проанализировать связанные с ним факты, и могут применяться для решения различных задач, таких как сбор доказательств для внутреннего расследования или правоохранительных органов, обработка инцидентов с вредоносным ПО и необычных проблем в работе информационных систем.

Процесс расследования инцидента с использованием методов форензики включает 4 этапа: сбор данных, экспертиза, анализ и формирование отчета. На рисунке 3 показан ход процесса расследования [7].

На первом этапе данные, относящиеся к определенному событию, идентифицируются, маркируются и записываются, при этом и их целостность должна сохраняться. Для обработ-

ки данных автоматизированные системы -наилучшие помощники (81ЕМ (для анализа данных) и серверы логирования (для сбора данных)).

При снятии побитовой копии обязательна непрерывная видеорегистрация процесса. При том, если инцидент реальный и убыток велик, то сразу же следует вызвать сотрудников МВД, при том стоит уточнить, будет ли у них свой специалист, и есть ли у них устройства

5

1 этап. Сбор данных

для снятия побитовой копии. Как правило, сотрудники правоохранительных органов владеют необходимым программным и аппаратным инструментарием, обладающим высокой скоростью и надёжностью работы. Также их своевременное привлечение позволит упростить бюрократический и правовой аспект сбора данных.

тап. Экспертиза

-: «

Носитель информации ^ Данные ^Информация ^ Доказательства

Рисунок 3 - Этапы расследования инцидента

На втором этапе используются соответствующие типам собранных данных инструменты и методы для их идентификации и извлечения соответствующей информации из собранных данных при условии сохранения их целостности. При этом могут быть использованы как ручные, так и автоматические инструменты.

Следующий этап включает анализ результатов экспертизы для получения полезной информации, которая отвечает на вопросы, которые послужили толчком для проведения сбора данных и экспертизы.

Заключительный этап предполагает составление отчёта о результатах анализа, который включает в себя описание выполненных действий и определение того, какие действия необходимо выполнить, а также рекомендации по улучшению политик, методик, процедур, инструментов и других аспектов процесса проведения расследования.

В ходе выполнения расследования извлечённые из носителя информации данные преобразуется в доказательства, которые могут быть использованы в том числе для составления модели нарушителя.

При выполнении сбора данных помимо наиболее распространённых и очевидных источников, таких как настольные компьютеры, серверы, сетевые устройства хранения данных и ноутбуки, как правило, оснащённые внутренними хранилищами данных, а так же набором портов (USB, Firewire, Thunderbolt, PCMCIA), к которым могут быть подключены внешние хранилища и устройства (такие как флеш-память, различные карты памяти, оптические и

магнитные диски, различные портативные цифровые устройства), следует иметь в виду наличие других источников данных относительно сетевого траффика и использования приложений (например, логи Интернет-провайдера, хотя получение последних может быть сопряжено с определёнными трудностями). Организации также могут принимать постоянные активные меры по сбору данных, которые могут быть полезны для криминалистических целей. В частности, это настройка используемых ОС для аудита и записи определенных типов событий, таких как попытки аутентификации и изменения политики безопасности, внедрение централизованного логи-рования, периодическое создание бэкапов систем и прочие превентивные меры, такие как внедрение систем контроля доступа, антивирусного ПО, а также утилит для обнаружения и удаления шпионских программ. В качестве примера превентивных мер можно привести использование платформы MIG: Mozilla InvestiGator. Данное ПО служит для проведения оперативных исследований на удаленных конечных точках, и в случае возникновения инцидента, фреймворк позволяет параллельно получать информацию из большого количества источников, тем самым значительно ускоряя его расследование.

После определения потенциальных источников данных выполняется сбор данных, включающий три этапа: разработка плана сбора данных, получение данных и проверка целостности полученных данных.

В ходе разработки плана необходимо установить приоритет источников данных исходя из следующих факторов:

- Вероятная ценность данных. Обычно оценивается исходя из предыдущего опыта в аналогичных ситуациях.

- Изменчивость данных. Под изменчивыми данными понимаются данные в работающей системе, которые теряются после выключения компьютера или по прошествии времени. Изменчивые данные также могут быть потеряны в результате других действий, выполняемых в системе. Во многих случаях сбор изменчивых данных должен иметь приоритет над постоянными данными. Следует также учитывать, что и энергонезависимые данные также могут быть динамическими по своей природе (например, файлы журналов, которые перезаписываются при возникновении новых событий).

- Количество усилий, необходимых для получения данных. Усилия включают в себя не только время, затрачиваемое сотрудниками организации, но и стоимость оборудования и услуг сторонних экспертов. Например, получение данных от сетевого маршрутизатора, вероятно, потребует гораздо меньше усилий, чем получение данных от Интернет-провайдера.

Далее, если данные ещё не были получены в рамках превентивных мер организации по сбору данных, процесс сбора данных предусматривает использование криминалистических инструментов для сбора изменчивых данных, побитового копирования энергонезависимых источников данных, и обеспечение безопасности исходных данных. В качестве примеров таких инструментов можно привести Volatility Framework - фреймворк для исследования образов содержимого оперативной памяти и извлечения цифровых артефактов из энергозависимой памяти (RAM), позволяющий извлечь из образа такие данные, как: дата и время, список запущенных процессов, список открытых сетевых сокетов, список открытых сетевых соединений, список загруженных библиотек для каждого процесса, имена открытых файлов для каждого процесса, адреса памяти, модули ядра ОС, маппинг физических смещений на виртуальные адреса, или Digital Forensics Framework, предназначенный для исследования как жёстких дисков, так и энергозависимой памяти и создания отчётов о пользовательских и системных действиях [8].

Проверка целостности полученных данных предусматривает возможность доказать, что данные не были подделаны, если это может потребоваться по юридическим причинам.

Следует также учитывать, что помимо необходимых для расследования данных в ходе данного мероприятия может быть собрана конфиденциальная информация, поэтому работа с собранными данными должна быть строго регламентирована.

После того, как данные были собраны, следующим этапом является экспертиза данных, которая включает оценку и извлечение соответствующих фрагментов информации. Этот этап может включать обход или ослабление таких функций ОС или приложений, как сжатие данных, шифрование и механизмы контроля доступа. Полученный в ходе сбора данных жёсткий диск может содержать колоссальное количество файлов данных, поэтому идентификация файлов данных, содержащих представляющую интерес информацию (включая информацию, скрытую с помощью контроля доступа) может быть сложной задачей. Кроме того, интересующие файлы данных могут содержать постороннюю информацию, которую следует отфильтровать. Например, вчерашний журнал брандмауэра может содержать миллионы записей, но только пять записей могут быть связаны с интересующим событием. В качестве примеров используемых на данном этапе инструментов можно привести bulk_extractor, позволяющий с помощью специальных сканеров извлекать из образов дисков полезную информацию, такую как адреса электронной почты, номера карт, GPS координаты, номера телефонов, EXIF данные в изображениях, списки слов (например, для использования при подборе пароля), или The Sleuth Kit (TSK), позволяющий получить списки и содержание файлов, хронологию файловой активности, удалённые данные и проводить поиск по ключевым словам.

Криминалистический анализ служит для получения соответствующих выводов на основе имеющихся данных или определения того, что пока нельзя сделать вывод. Анализ включает идентификацию людей, мест, предметов и событий, а также определение того, как эти элементы связаны, чтобы можно было прийти к заключению. Часто эти усилия будут включать сопоставление данных, полученных из нескольких источников. Например, журнал системы обнаружения сетевых вторжений (IDS) может связывать событие с хостом, журналы аудита хоста могут связывать событие с конкретной учётной записью пользователя, а журнал IDS хоста может указывать, какие действия выполнил этот пользователь. Такие инструменты, как централизованное ведение журналов и программное обеспечение для управления со-

бытиями безопасности, могут упростить этот процесс, автоматически собирая и сопоставляя данные. Также сравнение характеристик системы с известными базовыми показателями может выявить различные типы изменений, внесённых в систему.

Последним этапом расследования является составление отчёта, представляющее собой процесс подготовки и представления информации, полученной на этапе анализа. На этапе формирования отчёта следует обратить внимание на влияние таких факторов, как:

• Альтернативные объяснения. Когда информация о событии является неполной, может быть невозможно прийти к окончательному объяснению того, что произошло, поэтому если событие имеет два или более правдоподобных объяснения, в отчёте необходимо попытаться доказать или опровергнуть каждое возможное объяснение.

• Аудитория, которой будет показан отчёт. Например, инцидент, требующий участия правоохранительных органов, потребует исключительно подробного отчёта обо всей собранной информации, а также, вероятно, и копии всех данных, представляющих собой доказательства. Системный администратор может захотеть увидеть сетевой трафик и связанную статистику в деталях, а старшее руководство может потребовать упрощенное визуальное представление о том, как произошла атака, и что нужно сделать, чтобы предотвратить подобные инциденты.

• Актуальная информация. В отчёт также следует включить полезную информацию, которая может быть использована для предотвращения возможных будущих инцидентов (например, обнаруженные в ходе анализа данных бэкдоры, вредоносное ПО или уязвимость). В связи с этим все собранные в ходе расследования доказательства должны быть защищены от дискредитации, поскольку они могут содержать информацию об уязвимостях информационной системы.

5. Реализация действий, предупреждающих повторное возникновение инцидента

Важной частью обработки инцидента является предотвращение его повторного возникновения. Это достигается благодаря исполь-

зованию превентивных мер, о которых уже шла речь ранее. Кроме того, важно вести статистику инцидентов информационной безопасности, сохраняя данные о причинах их возникновения и последствиях. Такой подход позволит оценивать количество и характер инцидентов, и их динамику, и таким образом определять наиболее актуальные угрозы и проводить максимально эффективные мероприятия по повышению уровня информационной безопасности.

Вывод

Таким образом, использование методов форензики при расследовании инцидентов информационной безопасности позволяет выработать стандартные процедуры реагирования, минимизировать время обработки и вероятность возникновения новых аналогичных инцидентов.

Литература

1. Н.Н. Федотов. Форензика - компьютерная криминалистика. М.: Юридический мир, 2007. - 432 с. ISBN 5-91159-013-1.

2. Computer Security Incident Handling Guide (NIST.SP.800-61r2).

3. Jean BENOIT, Ales PADRTA. Forensic Analysis and Incident Handling. URL: https://www.renater.fr/sites/default/files/IMG/pdf/cbp_f orensics_

analysis_and_incident_handling_2061223 .pdf (Дата обращения 25.02.19).

4. Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» РС БР ИББС-2.5-2014.

5. BS ISO/IEC 27000. Система менеджмента информационной безопасности.

6. Управление инцидентами информационной безопасности. URL: https://searchinform. ru/informatsionnaya-bezopasnost/dlp-sistemy/upravlenie-intsidentami-informatsionnoj-bezopasnosti/ (Дата обращения 16.02.19).

7. Guide to Integrating Forensic Techniques into Incident Response (NIST.SP. 800-86).

8. Л. Сафонов. Компьютерная криминалистика (форензика) — обзор инструментария и тренировочных площадок. URL: https://habr.com/ru/post/327740/ (Дата обращения 01.03.19).