Расследование инцидентов при удаленном доступе

Ильяс Киреев, ведущий менеджер по продвижению CrossTech Solutions Group

Нынешнее положение в стране и в мире показало, что многие компании оказались неподготовленными к защите своих конфиденциальных данных и интеллектуальной собственности. Документы и базы данных то и дело всплывают у партнеров, конкурентов, на внешних интернет ресурсах и тем более на черном рынке (DarkNet/DeepWeb).

А расследование таких инцидентов является еще одним камнем преткновения. При увеличении хакерских атак возрастает нагрузка на офицеров информационной безопасности, а при компрометации конечных пользователей на удаленном доступе на личных устройствах приводит к уменьшению времени реакции в случае киберинцидента, при котором отсутствуют средства автоматизации сбора артефактов на скомпрометированной системе.

Именно поэтому при удаленном доступе наиболее острой задачей является использование технологий цифрового паспорта пользователя. Он  позволяет с помощью цифровых меток проводить контроль, управление и аудит прав доступа к электронным документам Microsoft Office (Word, Excel, Visio, PowerPoint). Данная технология ориентирована на выполнение нормативных требований федерального закона от 29.07.2004 г. № 98-ФЗ «О коммерческой тайне». Она  является хорошим дополнением к существующим решениям обеспечения информационной безопасности организации и контроля потоков чувствительной информации. Это позволяет персонализировать работника компании, который производил последние правки в документе, что в свою очередь позволяет идентифицировать нарушителя при утечке информации.

Инцидент менеджмент подразумевает выстроенный процесс реагирования по регламентированным сценариям (playbook), а также процесс расследования киберинцидентов и порядок сбора информации на скомпрометированной системе.

Многие компании при расследовании инцидентов используют разнородные решения в части ручного сбора артефактов и следов компрометации целевой системы. Отсутствие бесшовного процесса расследования и единой платформы  значительно снижает время реакции группы реагирования информационной безопасности, что в свою очередь позволяет злоумышленникам своевременно заметать следы компрометации.

Сбор артефактов и доказательной базы в автоматизированном режиме, при сработке решающего правила средства защиты информации, позволяет повысить время реакции команды реагирования до 40 минут, при выполнении рутинных работ сбора дампов оперативной памяти, ключей реестров, жестких дисков, файлов и полного образа операционной системы.

При организации удаленного доступа сотрудника компании задача сбора следов компрометации стоит наиболее остро, так как требуется осуществлять удаленное управление, скрытые расследования, проведение пост-анализа инцидента в конечной точке, внутреннее управление и сквозное обнаружение информации.

При выборе средств автоматизированного сбора данных скомпрометированной системы следует придерживаться решениями, которые использует единую базу данных расследований и создают четкую картину событий. Технологический стек решения должен основываться на следующих принципах:

  • доказательная база должна приниматься судами
  • база данных должна обеспечивает скорость и отказоустойчивость
  • должна быть широкая поддержка шифрования

Масштабируемость решения должна обеспечивать глубокое погружение в данные для расследования нарушений и выполнения нормативных требований, при территориально распределенной структуре офисов, крупных пулов и удаленных сотрудников. Это позволит быстро, удаленно и скрыто реагировать на инциденты, сохраняя при этом цепочку событий. Использование данного подхода обеспечит:

  • агентную инфраструктуру сотрудников удаленного доступа
  • скрытые расследования и сбор информации со множества удаленных точек
  • широкую ролевую модель доступа для сотрудников службы информационной безопасности и определит зональную ответственность
  • криминалистически корректный (значимый) аудит

Выстраивая единое решение для улучшения качества расследований в масштабах всего предприятия, вместе с функционалом целевого поиска и сбора данных в конечной точке, организация повысит оперативный сбор данных на удаленном рабочем месте. Кроме того, фильтрация по любым атрибутам в единой базе данных и извлечение только тех данных, которые важны для исследования, позволит оперативно реагировать на инцидент при расследовании.

Таким образом, с помощью автоматизации и использования централизованных инструментов анализа данных скомпрометированной системы, можно исследовать неизвестную активность во временном хранилище, что позволит собрать доказательную базу в едином месте, оперативно оперировать данными при расследовании компьютерного инцидента и подготовки доказательной базы в рамках уголовного дела.

При использовании технологий определения цифрового паспорта пользователя и компонентов автоматизированного сбора информации при расследовании инцидентов в случае утечки информации при организации удаленного доступа сотрудника, вы оперативно сможете идентифицировать злоумышленника, а компоненты автоматизированного сбора информации при расследовании инцидентов позволят своевременно собрать удаленно доказательную базу. Единая база данных артефактов позволить определить хронологию действий злоумышленника, а при интеграции с решениями типа SIEM/SOAR и дополнительными системами мониторинга информационной безопасности, класса DLP, позволит значительно повысить время реакции при расследовании и оперативно реагировать на угрозы, связанные с организацией удаленного доступа в компании.

 

 

Похожие записи