CC BY
69
ПОИСК И ИССЛЕДОВАНИЕ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Е. А. Заплатина, Д. В. Лопатин
Тамбовский государственный университет имени Г. Р. Державина, г. Тамбов, Россия
Хорошо известно, что одними мерами предупреждения не всегда удается предотвратить преступное посягательство. В связи с этим возникает необходимость заниматься не только вопросами защиты средств компьютерной техники, но и решать вопросы расследования компьютерных преступлений. Англоязычный термин «Computer Forensics» можно расшифровать, как расследование компьютерных инцидентов [1-3]. Расследование инцидентов ИБ и реагирование на них -сложный и комплексный процесс, требующий участия сотрудников многих подразделений компании: сотрудников отдела кадров, юристов, экспертов ИТ-системы, внешних консультантов по информационной безопасности, бизнес-менеджеров, конечных пользователей информационной системы, сотрудников служб технической поддержки, сотрудников службы безопасности и др. Большинство компаний создают комиссию по расследованию инцидента ИБ (Computer Security Incident Response Team - CSIRT). Эта комиссия должна включать экспертов и консультантов в юридической и технической сферах.
Фаза расследования призвана определить: кто, что, когда, где, как и почему были вовлечены в инцидент. Расследование включает проверку и сбор доказательств с серверов, сетевых устройств, а также традиционные мероприятия нетехнического характера. Оно может быть разделено на два этапа: сбор данных и их криминалистический анализ. Информация, собранная в ходе выполнения первого этапа расследования, служит в дальнейшем для выработки стратегии реагирования на инцидент. На этапе анализа, собственно, и определяется: кто, что, как, когда, где и почему были вовлечены в инцидент.
Анализ собранных данных включает анализ файлов протоколов работы, конфигурационных файлов, истории интернет-проводников (включая cookies), сообщений электронной почты и прикрепленных файлов, инсталлированных приложений, графических файлов и пр. Необходимо провести анализ ПО, поиск по ключевым словам, проверить дату и время инцидента. Криминалистический анализ может также включать анализ на «низком» уровне - поиск удален-
ных файлов и областей, потерянных кластеров, свободного места, а также анализ восстановленных данных с разрушенных носителей (например, по остаточной намагниченности).
При расследовании инцидента сбор данных может быть выполнен с помощью программного обеспечения «Disk Duplicate». Оно позволяет сделать точные копии жестких дисков («сектор в сектор») автоматизированных рабочих мест пользователей (сотрудников компании) и серверов. Для анализа полученных данных могут использоваться специальные средства эмуляции рабочих машин пользователей, например, «VMware Virtual Machine». Анализ пространств жестких дисков может проводиться с использованием специализированного программного продукта «Encase Enterprise Edition» или экспертных средств компании Vogon International. Эти два продукта - ведущие в мире при проведении расследования инцидентов ИБ. В ряде случаев для обнаружения следов компьютерных инцидентов могут быть использованы разнообразные программно-аппаратные комплексы для «прослушивания» локальной сети компании (часто используется продукт Ettercap - сетевой сниффер), разнообразные программы-ловушки (HoneyPot) и т. д.
Одним из методов предотвращения угрозы возникновения инцидента ИБ является использование программных средств. С помощью приведенных выше утилит можно проанализировать наличие существующих инцидентов ИБ. Эти простые в использовании программы позволяют защитить деятельность организации и противостоять злоумышленникам.
Литература
1. MANDIANT Is Intelligent Information Security. [Сайт]. URL: http://www.mandiant.
com/products/free_software/web_historian/ (дата обращения: 21.05.2011).
2. Digital Detective Support Central. [Сайт]. URL: http://support.digital-detective.co.uk/KB/ De-fault.aspx? ID=KB80038 (дата обращения: 21.05.2011).
3. ComputerForensics. [Электронный ресурс].
URL: http ://www. computerforensics!. com/russian/
ru-network-forensic-tool.html (дата обращения: 21.05.2011).
