Сегодняшний большой пост посвящен проблематике расследования инцидентов информационной безопасности. Так уж исторически сложилось, что в России долгое время этой темой никто не занимался, при этом в Европе и США такие услуги стали очень популярными.

С этим рынком вообще уникальная ситуация.

На сегодняшний день рынок расследования инцидентов ИБ в тех же США составляет несколько миллиардов долларов и значительно превышает рынок, например, privacy, или как, с некоторыми допущениями, мы его называем – защита персональных данных. Очевидно, что эта тема будет развиваться, несмотря на российские традиции, особенности и т.п. Просто потому, что есть потребность.

Недавно я познакомился с Ильей Сачковым, директором первой на российском рынке компании, которая профессионально занимается расследованием инцидентов информационной безопасности. Более компетентного человека в этих вопросах я не встречал.

Чтобы понять, что же такое расследование инцидентов информационной безопасности по-русски 😉 попросил дать предметное интервью для блога. Надеюсь, материал читателям понравится, особенно в части реальных кейсов.

Илья добрый день, Ситуация с вашим бизнесом настолько уникальная и интересная, что конечно вопросов очень много. Я постарался выбрать наиболее общие. Итак…

1. Расскажите о своей компании. Как она появилась? Почему вы решили заниматься столь инновационным делом?

Здравствуйте, Евгений!

Идея родилась в 2003 году, когда я прочитал американскую книгу про расследование компьютерных преступлений. Мне показалось очень интересным это направление с точки зрения специалиста. В то время я работал в области классической ИБ. Преступление, расследование, романтика. Стало интересно: кто работает в этом направлении? Я изучил рынок и меня поразил тот факт, что в России этим никто не занимается, не смотря на то, что в США и Европе это развитая отрасль информационной безопасности. Сразу захотелось начать действовать в России. Потому что информационные технологии и Интернет общество развивается одинаково во всем мире, а ответственность за компьютерные преступления в России не так развита, соответственно это направление будет востребовано. Россия в области ИБ идет по стопам запада (к счастью и гордости некоторые наши методики по расследованию сейчас наоборот идут на Запад).

Быстро образовалась команда единомышленников. Мы доставали редкие западные методики по расследованию, практически сразу стала работать лаборатория. Почти сразу же появились первые заказы на расследование обстоятельств компьютерных преступлений. Очень быстро Group-IB поглотила нас полностью.

2. Какие именно услуги вы выделяете в рамках направления расследования инцидентов ИБ? (почему это интересно заказчикам?)

В предметной области мы выделяем:

• Расследование инцидентов (компьютерных преступлений): инцидент внутренний или внешний, как произошел инцидент, почему он произошел, что делать сейчас, кто с ним связан?
• Реагирование на инциденты и их мониторинг: в момент совершения инцидента как минимизировать ущерб, правильно собрать доказательства и не сделать лишнего? Как обнаружить инцидент?
• Компьютерная криминалистика: лаборатория компьютерной криминалистики –восстановление хронометража событий, поиск доказательств на носителях информации, восстановление данных и многое другое связанное с компьютерной криминалистикой.
• Юридическое сопровождение всех работ: т.к. все инциденты тесно связаны с компьютерными преступлениями важно выполнять и оформлять работы в соответствии с законом РФ, подключать правоохранительные органы и участвовать в оперативной, следственной и судебной стадии работ.

Заказчикам это интересно, т.к. сейчас в России никто адекватно и качественно не может предоставить эти услуги кроме нас. Это не хвастовство. Просто это так. Интеграторы привыкли продавать стандартные услуги, а к сложным, нелогичным и опасным (некоторым нашим сотрудникам часто угрожают) они не готовы. Так мы и находим наших заказчиков.

3. Большинство участников рынка не понимают «Расследование инцидентов» как услугу. Какие услуги пользуются наибольшей популярностью и почему? Приведите пример конкретной ситуации взаимодействия с Заказчиком. Желательно несколько кейсов. (без указания имен, конечно)

Да мы часто сталкиваемся с вопросом: «для чего нам расследование?». Эти вопросы задают люди, которые, к сожалению, не имели опыта реагирования на реальные и сложные инциденты, юридического сопровождения этих инцидентов и работы с правоохранительными органами.

Сейчас кратко расскажу о заблуждениях работников служб информационной безопасности:

«Расследование может провести служба безопасности»

Почему это является заблуждением:

• Каким бы профессионалом не был сотрудник службы информационной безопасности, он не может постоянно отслеживать правовые решения по компьютерным преступлениям, от которой зависит, как именно необходимо настроить систему журналирования в информационных системах и процедуру реагирования на инцидент информационной безопасности. Если все доказательства собраны только службой безопасности – они не имеют никакой силы.
• Для проведения расследования требуется специальное оборудование и программное обеспечение для компьютерной экспертизы, которое не так просто купить, и его стоимость порой очень высока.
• Расследование инцидента информационной безопасности может проходить до нескольких месяцев. При этом получается, что сотрудник, проводящий расследование, будет оторван от текущей работы, и его обязанности придется перераспределять среди других работников. А если штат недоукомплектован, или работники и так перегружены работой?
• Если инцидент произошел по вине или недосмотру службы информационной безопасности, то стоит ли ждать объективной оценки происходящего?

В общем, особенностей много и говорить об этом можно часами. Если провести условную градацию, то необходимость можно разделить на ту, когда есть прямой возврат инвестиций (можно даже рассчитать ROI) и когда расследование нужно провести в любом случае: необходимость по закону, требование акционеров, невозможность это сделать с помощью службы ИБ.

В 2010 году самыми популярными расследованиями стали: мошенничества в системах дистанционного банковского обслуживания (ДБО). Появились целые группы киберпреступников, занимающимися централизованной кражей ключей для систем ДБО и дальнейшей обналичкой денежных средств.

Кража денежных средств может быть произведена как вашими внутренними сотрудниками, так и абсолютно не имеющими к вашей компании людьми. И это первый вопрос, на который мы можем ответить. Кто украл ключи?

В большинстве случаев компрометация электронных ключей происходит с помощью вредоносного ПО, которое проникает через Интернет. Этот код обнаруживает, что на данном ПК ведется работа с системой ДБО, и осуществляет копирование ключей и логина/пароля пользователя, а затем передает данную информацию злоумышленникам. Кроме того, возможны случаи, когда перевод денежных средств осуществляется непосредственно с ПК жертвы посредством ПО для удаленного администрирования, также, установленного мошенниками через сеть Интернет. На скриншоте пример панели злоумышленника (кликнуть, чтобы увеличить).

Итак первоначально определяя как были украдены ключи, мы идем по цепочки дополнительных доказательств: DDoS атака, куда вирус отправлял информацию, кто загружал вирус, откуда он был загружен и по многим другим. Мы помогаем криминалистически верно зафиксировать факт кражи с точки зрения ИТ, а так же собираем достаточно информации, чтобы найти и на законных основаниях привлечь к ответственности преступников.

Так же из популярных расследований в 2010– DDoS атаки. Для заказчиков важно найти заказчика атаки. В реальном мире это означает нахождение исполнителя, привлечение его к ответственности и выяснение имени заказчика после оперативно-розыскных мероприятий.

Если начинается фишинговая атака на банк, то банк очень интересует – это целевая атака на банк или массовое явление. Далее интересует найти злоумышленников и параллельно с этим минимизировать воздействие на банк. Мы закрываем фишинговый домен, добавляем информацию об атаке в антифишинговые фильтры браузеров.

Если это опять же мошенничество в ДБО – то интересует, было ли это мошенничество клиента или действительно деятельность хакеров. Информация помогает улучшить систему безопасности.

Расследование инцидентов мы совмещаем с реагированием на инциденты и с мониторингом, поэтому в нашем случае эти услуги имеют смысл, отдачу инвестиций и пользуются популярностью.

4. Каковы возможные результаты вашей работы с Заказчиком? Чем обычно заканчивается работа? Что наиболее интересно вашим Заказчикам?

Расследования, это не только нахождение злоумышленников. Во многом это тонкий аудит скопромитированных систем на предмет того: а как получилось так, что инцидент произошел. Кроме нахождения лиц, причастных к инциденту заказчик получает рекомендации по улучшению систем ИБ . И эти рекомендации носят практический характер. Т.е. руководство компании не приходится убеждать что-либо менять, они сами понимают, что изменения в системе ИБ нужны.

Заказчикам интересно понять как произошел инцидент, правильно собрать доказательства, получить юридическое сопровождение расследований в правоохранительных органах.

Чаще после проведения одного расследования мы обеспечиваем постоянный мониторинг и реагирование на инциденты в режиме 24/7.

5. Не секрет, что на западе этот рынок очень развит. Расскажите об особенностях западного и российского понимания этого бизнеса?

Главная особенность рынка на Западе в том, что он синхронизирован с законодательством и мировоззрением населения. Все понимают, что такое ценность информации и что любое незаконное на её покушение – преступление. Не нужно часами доказывать следователю, что бот сеть это незаконно.

Россия пока от этого далека. Потребуется время и серьезные реформы, чтобы догнать прогресс. Но этот процесс неизбежен. Электронное правительство, интернет проекты – все это напрямую столкнет чиновников с киберпреступностью. А когда закон и мировоззрение населения достигнет правильного уровня, тогда и рынок разовьется.

6. Почему на ваш взгляд, в России этот рынок только начинает формироваться?

Ответ достаточно простой: потому, что Россия до сих пор не понимает, что такое компьютерное преступление. Мы ещё не научились защищать свои права в обычной жизни. Поэтому понять, что такое кража информации 90% населения сейчас сложно. Если говорить о корпоративном рынке, то есть укоренелое мнение, о котором я говорил выше – корпоративная служба безопасности может все сделать сама. А то, что оборудования для определенных видов экспертиз может стоить 200 тысяч долларов – это никого не интересует. Расследования проводятся непрофессионально и не имеют юридических перспектив. Сейчас только передовые западные и российские компании готовы к подобным услугам.

7. Как вы видите развитие этого рынка в краткосрочной и среднесрочной перспективе?

Если законодательство будет развиваться так же медленно, как и сейчас, то через несколько лет в сети Интернет победит киберпреступность. И уже о рынке будет говорить сложно. Я не шучу.

8. Каковы ваши планы на ближайшую и долгосрочную перспективу?

Сейчас мы запускаем несколько новых услуг, например защита бренда онлайн и Anti-phishing monitoring&Response, которые помогут в режиме реального времени обнаруживать угрозы против конкретного бренда: фишинг, мошенничество (продажа контрафакта от имени другой компании), черный PR и кибесквоттинг.

Что касается нашей защиты от DDoS, то сейчас мы готовы защищать от 25 ГБ/с атак, а уже к сентябрю будем держать 40 ГБ/с плюс защищать от сложных интеллектуальных атак.

Так же я вижу большие перспективы в дальнейшем развитии HoneyNet проекта, который дает нам аналитику по бот-сетям и другим кибер-активностям. Планируем и дальше закупать и создавать самостоятельно лучшее оборудование по криминалистике в нашу лабораторию.

Обязательно мы и наши партнеры будем лоббировать совершенствование законодательства в области компьютерных преступлений и компьютерной криминалистики.

Параллельно с этим будем развивать некоммерческие проекты, поддерживаемые государством: это популяризация темы борьбы с компьютерной преступностью.

9. Что вы пожелаете читателям моего блога?

Желаю всем хорошего настроения и крепкого здоровья. Ну и главное быть счастливыми. Все остальное приложится. Спасибо!

Спасибо Илья за интересную информацию.