Форензика — это наука, которая стала незаменимой в расследовании киберпреступлений, а также преступлений, совершенных с помощью ИКТ. С помощью современных методов и технологий компьютерные криминалисты способны раскрыть самые сложные и запутанные инциденты. В статье рассказываем, что такое форензика, чем занимают эксперты-форензики и каковы перспективы развития этого направления кибербезопасности в России.
Слово «форензика» пришло к нам из английского языка и в буквальном переводе это криминалистика. Поэтому на западе форензикой называют все, что связано с наукой о доказательствах и работе с ними. В России слово форензика имеет одно значение — компьютерная криминалистика. Она одновременно и наука, и услуга на рынке. Рассмотрим подробнее каждое из этих направлений компьютерной форензики.
Форензика как наука — это процесс извлечения, анализа и предоставления электронных доказательств для раскрытия киберпреступлений. Она играет важную роль в следственной деятельности и помогает правоохранительным органам доказать идентичность преступника, обнаружить источник преступной деятельности и восстановить цепочку событий.
Специалисты по форензике занимаются извлечением данных с устройств и систем, которые могут быть связаны с преступными действиями — компьютеров, мобильных телефонов, планшетов, серверов и т. д. После извлечения данных проводится анализ для выявления цифровых следов и понимания, какие действия были совершены и кем. Анализ может включать поиск удаленных файлов, логов, метаданных, сетевой активности, шифрования и прочего. Но зачастую эксперты сталкиваются со сложностями в своей работе.
Лада Антипова
Эксперт по реагированию на инциденты Angara SOC
Самая большая боль любого специалиста по реагированию на инциденты и компьютерной криминалистике — прийти на место происшествия и обнаружить, что все «зараженные» машины уже перезалиты, восстановлены из добытых резервных копий, были осуществлены попытки как-либо зачистить пространство, еще и дополнительно запущены утилиты «скорой помощи» для экстренной проверки систем от антивирусных вендоров, которые при обнаружении любого подозрительного файла по умолчанию сразу удаляют его.
Также сложности возникают из-за недостаточной подготовки на более раннем этапе. Например, недостаточная детализация журналов приводит, в лучшем случае, к увеличению времени расследования, но может ощутимо сократить детализацию картины инцидента. Еще одна распространенная проблема заключается в получении неполной информации от заказчика по инциденту, например, о времени обнаружения инцидента, действиях, которые предпринимались для разрешения проблемы, наличии средств защиты информации в инфраструктуре или о хостах, доступных извне. То есть недостаточное знание своей инфраструктуры и отсутствие ведения ее активов.
Компьютерная форензика также используется для восстановления данных, которые были умышленно или случайно удалены или изменены. Это помогает следователям получить доступ к информации, которая поможет раскрыть киберпреступление и привести его исполнителя к ответственности.
Важный аспект компьютерной форензики как криминалистической науки — соблюдение процедур и норм права. Форензические эксперты должны следовать строгим процедурам, чтобы обеспечить целостность собранных доказательств и их допустимость в суде. Также они должны учитывать конфиденциальность и защиту данных, чтобы не нарушить приватность людей, не связанных с преступлением.
Эксперты-форензики привлекаются к раскрытию разных киберпреступлений — мошенничеств, краж личной информации, нарушений авторских прав, домогательств, шантажа и т. д. Также они проводят судебную компьютерно-техническую экспертизу (СКТЭ), отвечая на вопросы, поставленные судьей.
Для бизнеса привлечение киберпреступника в отвественности — не главная цель. Частным компаниям, корпорациям и стартапам важнее выявить цепочку атаки, расследовать инцидент и получить рекомендации специалиста по предотвращению подобных ситуаций в будущем. Но стоит отметить, что в интересах заказчика заранее подготовиться и провести превентивные мероприятия по предотвращению инцидентов.
Семен Рогачев
Руководитель отдела реагирования на инциденты компании «Бастион»
Если говорить о превентивных мерах, то сначала важно убедиться, что включено расширенное логирование событий ОС, например, события создания процессов. И эти логи хранятся достаточное количество времени — от месяца и как можно дольше. И желательно не только на самих устройствах.
Наличие карты сети со списком СЗИ и другого софта также помогает при расследовании инцидентов. До наступления инцидента важно проверить, насколько быстро в нерабочее время (часто инциденты наступают именно в этот период) системные администраторы смогут осуществить централизованный запуск необходимого ПО, а также убедиться, что необходимые для этого учетные данные хранятся у нескольких человек на случай, если один из них будет недоступен.
Если превентивные меры выполнены, при выявлении инцидента остается назначить сотрудника для консультации специалистов по реагированию на инциденты и оперативно решить юридические вопросы: подписать NDA и другие документы. Иногда этот процесс занимает много времени, поэтому мы дополнительно рекомендуем снимать требуемые команде реагирования данные сразу, а передавать после подписания всех необходимых документов.
Расследование форензик-эксперта обычно включает в себя следующие шаги:
Кроме расследования инцидентов, экспертов привлекают для внутренних корпоративных проверок, финансового форензик-аудита и т. д.
В связи с быстрым технологическим развитием и повсеместным использованием интернета, компьютерная форензика становится все более важной и востребованной.
Сергей Полунин
Руководитель группы защиты инфраструктурных IT-решений компании «Газинформсервис»
Стоит отметить, что направление форензики, расследование инцидентов и вообще работа по выявлению, например, утечки конфиденциальной информации в России исторически весьма популярно и прекрасно развивается.
Кроме того, расследование инцидента это не столько софт, сколько компетенции и экспертиза специалистов, которые проводят расследование. И с этим в нашей стране тоже традиционно всё неплохо.
В России это направление информационной безопасности активно развивается и востребовано в банковской и IT сферах. Стоит отметить, что уход зарубежных вендоров никак не сказался на уровне и качестве российской форензики.
Александр Котов
Руководитель направления развития бизнеса ИБ в Axoft
В расследовании киберпреступлений важны определенные инструменты. Западные вендоры ушли, однако, отечественные компании предлагают прекрасные решения для работы форензик-экспертов. Например, решения компании F.A.C.C.T. — Managed XDR и Threat Intelligence. MXDR позволяет централизованно управлять защитой всей инфраструктуры, а также проводить расследования кибератак. Threat Intellegence — система, позволяющая быстро определить актуальный источник угрозы на основе данных о тактиках, инструментах и активности злоумышленников. Кроме того, решения такого класса есть и у ряда отечественных вендоров, таких как Kaspersky и Positive Technologies.
Если же говорить конкретно о программном обеспечения для форензики, то, несмотря на то, что развитие этого направления в России началось несколько позже глобального рынка, есть ряд достойных решений и у отечественных производителей: например, Elcomsoft, ePlat4m, Microolap.
Перспективы развития форензики как компьютерной криминалистики связаны с постоянным технологическим прогрессом, ростом угроз кибербезопасности и важностью цифровых данных для государства, бизнеса и судебной практики. Поэтому мы будем наблюдать за развитием форензики и ее результатами — эффективными расследованиями и предотвращенем преступлений в цифровой среде.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться