Когда цифры кибератак бьют все возможные рекорды, технологии цифровой криминалистики и реагирования на инциденты (Digital Forensics and Incident Response) не могут не попасть в фокус внимания. Тем не менее, компании пока малознакомы с этими решениями. Почему это происходит и какие изменения можно ждать в ближайшее время, мы обсудили с генеральным директором «МКО Системы» Ольгой Гутман.
Cyber Media: Как развивается рынок форензики в России?
Ольга Гутман: Раньше форензика была интересна только правоохранительным органам, которые занимались непосредственно расследованием киберпреступлений. Эти системы помогали им глубоко погрузиться в исследуемые объекты, собрать необходимые доказательства.
А в 10-х годах этими системами стали интересоваться другие компании. Это было связано с мерами госрегуляторов, которые начали усиливать контроль в области защиты данных, корпоративных инцидентов, регуляторных политик. Банки начали присматриваться к форензике, уже тогда к нам обращались за такими системами. Плюс, примерно в то же время аудиторы начали предлагать услуги по расследованию инцидентов, создавали специализированные компании в этой области.
Около пяти лет назад по корпоративным отчётам стало видно, что количество атаки и инцидентов начало расти. Появилась тенденция – компании не выносят сор из избы и проводят расследование внутри. Они смотрят, что случилось, где начался инцидент, как развивался и что затронул. Все для того, чтобы подобные события в будущем не повторилась. И в результате все больше компаний стали интересоваться системами форензики.
Cyber Media: Какие это организации, в основном?
Ольга Гутман: В основном, крупные и средние. И – возможно, это специфика нашего бизнеса – больше всего интересуются те, за кем пристально наблюдает государство.
По отраслям, это банки, аудиторы, промышленность, крупные предприятия, а также компании, которые сами предоставляют услуги по расследованию инцидентов.
Cyber Media: Вы говорили, что российские разработчики форензик-систем в последнее время перестали в этом направлении работать. Почему это происходит? Ведь рынок достаточно небольшой, конкурировать должно быть не слишком сложно.
Ольга Гутман: Да, действительно небольшой. Про причины ухода лучше спросить у них самих. Как я понимаю, это несогласие с тем, что происходило вообще. Нас такие решения очень удивили, поскольку мы как участники этого небольшого рынка знаем, как редко пользователи меняют свое ПО. И мы знаем, что продукты [ушедших разработчиков (прим. ред.)] использовали, они развивались...
Очевидно, для вас это благоприятная ситуация, ведь компании будут искать замену решениям, которые теперь стали недоступны.
Мы в целом расцениваем это как положительное событие, поскольку сейчас фактически «МКО Системы» остались единственным разработчиком форензик-решений. Продукты других компаний подходят к этим вопросам с какой-то одной стороны, будь то исследование ПК, iOS-устройств, каких-то специфических моделей телефонов.
Мы же строим полнофункциональный комплекс, который включает в себя все, что может предложить классическая форензика. Плюс, мы будем стараться формировать рынок, в том числе в просветительской точки зрения, утверждением в головах самого понятия DFIR. Сейчас если почитать интернет, вы увидите, что все материалы англоязычные, на русском почти ничего нет. То, что будет появляться – это, скорее всего, будет от нас или от наших коллег.
Cyber Media: После февральских событий стало ясно, что эти продукты, в общем-то, являются обязательными. Все осознали риски и далеко не гипотетические убытки. Очевидно, вам теперь будет проще доносить до заказчиков практическую пользу форензики?
Ольга Гутман: Да. После февраля был пиковый скачок атак и инцидентов. Да и раньше, на самом деле, еще в пандемию некоторые сектора ощутили, что такое понести убытки от инцидентов, которые в принципе можно было предотвратить, если бы компания проводила регулярные системные ИБ-аудиты.
В качестве иллюстрации могу привести пример с одной компанией, которую, конечно, называть не будут. Летом мы проводили мероприятие, где рассказывали про DFIR, как важно не просто строить периметр, но и расследовать внутренние события. Потому что как бы ни был защищен периметр, все равно кто-нибудь через него пройдет. На этом мероприятии наш будущий клиент доказывал, что это не нужно, что у него в компании стоит DLP-система, которая от всего защитит. Тут стоит отметить, что, хотя классическая DLP защищает только от утечек, эти решения сейчас так разрослись, что мы таким аргументам уже не удивляемся.
Проходит буквально две недели, и этот человек нам пишет: «Срочно давайте внедрять вашу систему, потому что у нас случился инцидент и убытки оцениваются в миллион». Пока рак на горе не свистнет...
Cyber Media: Возможно, у людей нет практики, понимания, что это может произойти...
Ольга Гутман: Да, а когда происходит, компания начинает быстрей-быстрей все исправлять.
Но и нужно сказать, что в последнее время в этой области стали гораздо грамотнее сотрудники служб информационной безопасности. Раньше в случае инцидента совершалось очень много ошибок. Первая реакция – паника, никто не знал, что делать, не было алгоритма. Сейчас таких кейсов все меньше и меньше.
Cyber Media: Давайте пройдемся по списку инструментов, которые, с вашей точки зрения, должны быть у безопасников, и по алгоритму, которому нужно следовать, если инцидент случился.
Ольга Гутман: Наша компания разрабатывает узконаправленные решения, поэтому я могу лишь сказать, что нельзя ограничиваться выстраиванием периметра, одними SIEM и SOAR. Они все предприятие не защищают.
Я часто привожу такой пример – предприятие можно сравнить с частным домом. DLP с SIEM – это отличная охранная система. SOAR – это некое хранилище с минимальными функциями расследователя. А DFIR – это следователь, который приходит на место преступления и начинает разбираться, что там на самом деле произошло. До инцидента, во время, после – восстанавливает всю картину.
Поэтому хотя расследование инцидентов – это небольшой кусочек, упускать его нельзя, он имеет очень большое значение. Эти решения сокращают время, которое тратится на расследование. Мы не пытаемся заменить все привычные ИБ-службам продукты – скорее мы дополняем уже сформировавшийся портфель сильными инструментами для некоторых новых задач.
Cyber Media: Другими словами, вы ставите задачу найти корень инцидента.
Ольга Гутман: Да, наши продукты отвечают на три вопроса. Первое, кто был нулевым пациентом, какая уязвимость спровоцировала события. Второе, что было дальше. Третье, насколько сильный ущерб может нанести инцидент. Потому что он может затронуть другие объекты, кроме тех, которые уже затронуты. Может быть, история вообще еще не закончилась и будет развиваться.
Cyber Media: А как ваш продукт работает с внутренними нарушителями, которые зачастую и провоцируют инциденты?
Ольга Гутман: Форензик-решения в принципе не предназначены для какого-то отдельного класса инцидентов. В принципе, все инциденты можно с их помощью расследовать. Логика всегда будет одна: извлечь информацию, провести анализ, сформировать картину. Вне зависимости от того, будет ли это случай мошенничества, действия инсайдера, кибератаки, атаки шифровальщика.
Cyber Media: Отдельно хочется поговорить про судебную практику – как цифровые доказательства учитываются при производстве? Что на эту тему говорят ваши партнеры?
Ольга Гутман: Да, мы сами в этом участия не принимаем, поскольку мы вендор. Но в целом можно сказать, что практика такая существует давно.
Cyber Media: Но при этом ваши продукты рассчитаны не на какой-то общий анализ, а на сбор доказательств, которые можно использовать в дальнейшем.
Ольга Гутман: Да, наша система извлекает доказательства, проводит первичный автоматический анализ. Дальше эксперт проводит самостоятельный анализ, выделяет важные детали, которые, по его мнению, относятся к инциденту, и формирует отчет. Этот отчет дальше используется в судебной практике.
Cyber Media: Это вызывает особый интерес в свете последних утечек, которые в большинстве своем происходят по вине сотрудников.
Ольга Гутман: Да, что касается утечек персональных данных, то в последние месяцы можно было заметить, что от них страдают все: банки, медучреждения, промышленность, сотовые операторы. И действительно виновниками оказываются внутренние пользователи – либо нечаянно не ту кнопку нажали, либо специально. Форензика позволит картину восстановить.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться