Сегодняшний немалый пост отдан проблематике расследования инцидентов информационной безопасности. столько уж исторически выработалось, что в России длительное момент этой темой никто не занимался, при этом в Европе и США эдакие услуги стали здорово популярными. С этим торгом вообще уникальная ситуация. На сегодняшний девай базар расследования инцидентов ИБ в тех же США составляет несколько биллионов долларов и внушительно превышает базар, примерно, privacy, или ровно, с кой-какими допущениями, мы его величаем защита персональных настоящих. Очевидно, что эта тема будет развиваться, несмотря на российские традиции, особенности и т.п. прямо потому, что уплетать надобность. Недавно я познакомился с Ильей Сачковым , директором первой на российском торге братии, какая профессионально занимается расследованием инцидентов информационной безопасности. Более компетентного человека в этих спросах я не встречал. чтоб раскусить, что же такое расследование инцидентов информационной безопасности по-русски попросил дать предметное интервью для блога. мню, материал читателям полюбится, особливо в части реальных кейсов. Илья сердечный девай, Ситуация с вашим бизнесом столь уникальная и увлекательная, что последне спросов здорово немало. Я постарался избрать наиболее повальные. Итак 1. Расскажите о своей братии. ровно она выросла? зачем вы постановили заниматься столь инновационным делом? приветствуйте, Евгений! Идея народилась в 2003 году, когда я пробежал американскую книжку про расследование компьютерных правонарушений. Мне показалось здорово занимательным это течение с точки зрения специалиста. В то момент я ишачил в области классической ИБ. правонарушение, расследование, романтика. Стало интересно: кто ломит в этом течении? Я изучил базар и меня сразил тот факт, что в России этим никто не занимается, не взирая на то, что в США и Европе это раскрученная ветвь информационной безопасности. залпом пожелалось приняться орудовать в России. Потому что информационные технологии и Интернет общество развивается равно во всем мире, а ответственность за компьютерные правонарушения в России не столько раскручена, соответственно это течение будет востребовано. Россия в области ИБ шествует по стопам заката (к счастью и гордости кой-какие наши методики по расследованию сейчас наизнанку вышагивают на Запад). ходко образовалась команда единомышленников. Мы доставали редкостные западные методики по расследованию, утилитарны залпом стала ломить лаборатория. почитай залпом же показались первые заказы на расследование обстоятельств компьютерных правонарушений. здорово ходко Group-IB поглотила нас сполна. 2. Какие собственно услуги вы выделяете в рамках течения расследования инцидентов ИБ? (почему это занятно заказчикам?) Расследование инцидентов (компьютерных преступлений): инцидент внутренний или внешний, ровно содеялся инцидент, зачем он содеялся, что мастерить сейчас, кто с ним связан? Реагирование на инциденты и их мониторинг: в момент совершения инцидента ровно минимизировать ущерб, точно снарядить доказательства и не сделать избыточного? ровно открыть инцидент? Компьютерная криминалистика: лаборатория компьютерной криминалистики восстановление хронометража событий, разыскивание доказательств на носителях информации, восстановление настоящих и многое прочее связанное с компьютерной криминалистикой. Юридическое сопровождение всех работ: т.к. все инциденты узко связаны с компьютерными злодеяниями величаво выполнять и оформлять работы в соответствии с законом РФ, подключать правоохранительные органы и участвовать в оперативной, следственной и судебной стадии работ. Заказчикам это занятно, т.к. сейчас в России никто адекватно и качественно не может предоставить эти услуги кроме нас. Это не похвальба. прямо это столько. Интеграторы обвыклись торговать типовые услуги, а к сложным, алогичным и опасным (некоторым нашим сотрудникам нередко угрожают) они не готовы. столько мы и находим наших заказчиков. 3. Большинство участников торга не разумеют “Расследование инцидентов” ровно услугу. Какие услуги употребляют громаднейшей популярностью и зачем? ввергните образец конкретной ситуации взаимодействия с Заказчиком. невредно несколько кейсов. (без предписания имен, конечно) безусловно мы нередко сталкиваемся с вопросом: «для чего нам расследование?». Эти спросы задают народ, кои, к сожалению, не располагали эксперимента реагирования на реальные и сложные инциденты, юридического сопровождения этих инцидентов и работы с правоохранительными органами. “Расследование может протянуть служба безопасности” Каким бы профессионалом не был сотрудник службы информационной безопасности, он не может неизменно отслеживать правовые решения по компьютерным правонарушениям, от коей зависит, ровно собственно необходимо настроить систему журналирования в информационных системах и процедуру реагирования на инцидент информационной безопасности. Если все доказательства справлены всего-навсего службой безопасности они не владеют никакой силы. Для проведения расследования требуется особое оборудование и программное обеспечение для компьютерной экспертизы, кое не столько прямо взять, и его стоимость порой здорово писклява. Расследование инцидента информационной безопасности может идти до нескольких месяцев. При этом получается, что сотрудник, коротающий расследование, будет отвлечен от текущей работы, и его обязанности придется перераспределять среди иных работников. А если штат недоукомплектован, или работники и столько перегружены работой? Если инцидент содеялся по вине или недогляду службы информационной безопасности, то стоит ли поджидать объективной оценки происходящего? В поголовном, особенностей немало и толковать об этом можно часами. Если протянуть условную градацию, то надобность можно раздробить на ту, когда уплетать прямолинейный возврат инвестиций (можно даже рассчитать ROI) и когда расследование необходимо протянуть в любом случае: надобность по закону, заявка акционеров, невозможность это сделать с поддержкой службы ИБ. В 2010 году самыми популярными расследованиями стали: жульничества в системах дистанционного банковского обслуживания (ДБО). показались полные группы киберпреступников, занимающимися централизованной кражей ключей для систем ДБО и дальнейшей обналичкой денежных оружий. Кража денежных оружий может быть произведена ровно вашими внутренними сотрудниками, столько и безотносительно не располагающими к вашей братии народами. И это начальный проблема, на какой мы можем откликнуться. Кто стибрил ключи? В большинстве случаев компрометация электронных ключей происходит с поддержкой вредоносного ПО, кое проходит чрез Интернет. Этот код являет, что на настоящем ПК ведется труд с системой ДБО, и осуществляет копирование ключей и логина/пароля пользователя, а затем передает настоящую информацию злоумышленникам. Кроме того, мыслимы случаи, когда перевод денежных оружий осуществляется непосредственно с ПК жертвы посредством ПО для спроваженного администрирования, также, учрежденного проходимцами чрез сеть Интернет. На скриншоте образец панели злоумышленника (кликнуть, чтоб увеличить). Итак первоначально определяя ровно были похищены ключи, мы идем по цепочки добавочных доказательств: DDoS штурм, куда вирус отправлял информацию, кто загружал вирус, откуда он был загружен и по многим иным. Мы помогаем криминалистически точно зафиксировать факт кражи с точки зрения ИТ, а столько же собираем хватит информации, чтоб найти и на легитимных основаниях привлечь к ответственности злоумышленников. столько же из популярных расследований в 2010 DDoS атаки. Для заказчиков величаво найти заказчика атаки. В реальном мире это означает нахождение исполнителя, привлечение его к ответственности и выяснение имени заказчика после оперативно-розыскных мероприятий. Если начинается фишинговая штурм на банк, то банк здорово интересует это целевая штурм на банк или массовое явление. ниже интересует найти злоумышленников и параллельно с этим минимизировать воздействие на банк. Мы закрываем фишинговый домен, добавляем информацию об атаке в антифишинговые фильтры браузеров. Если это опять же жульничество в ДБО то интересует, было ли это жульничество клиента или впрямь деятельность хакеров. Информация помогает улучшить систему безопасности. Расследование инцидентов мы соединяем с реагированием на инциденты и с мониторингом, отчего в нашем случае эти услуги владеют резон, отдачу инвестиций и употребляют популярностью. 4. Каковы вероятные итоги вашей работы с Заказчиком? Чем всегдашне заканчивается труд? Что наиболее занятно вашим Заказчикам? Расследования, это не всего-навсего нахождение злоумышленников. Во многом это филигранный аудит скопромитированных систем на объект того: а ровно вышло столько, что инцидент содеялся. Кроме нахождения рыл, причастных к инциденту заказчик получает рекомендации по улучшению систем ИБ . И эти рекомендации ходят утилитарный норов. Т.е. руководство братии не доводится убеждать что-либо менять, они сами разумеют, что изменения в системе ИБ нужны. Заказчикам занятно раскусить ровно содеялся инцидент, точно снарядить доказательства, получить юридическое сопровождение расследований в правоохранительных органах. дробнее после проведения одного расследования мы обеспечиваем неизменный мониторинг и реагирование на инциденты в порядке 24/7. 5. Не секрет, что на весте этот базар здорово раскручен. Расскажите об особенностях западного и российского понимания этого бизнеса? перная особенность торга на весте в том, что он синхронизирован с законодательством и миропониманием народонаселения. Все разумеют, что экое ценность информации и что любое противозакооное на её покушение правонарушение. Не необходимо часами обосновывать следователю, что бот сеть это беззаконно. Россия покамест от этого отдаленна. Потребуется момент и положительные реформы, чтоб достигнуть прогресс. однако этот процесс верен. Электронное правительство, интернет проекты все это напрямую столкнет чиновников с киберпреступностью. А когда закон и миросозерцание народонаселения завоюет точного уровня, тогда и базар разовьется. 6. Почему на ваш взор, в России этот базар всего-навсего начинает формироваться? Ответ хватит простой: потому, что Россия до сих пор не разумеет, что экое компьютерное правонарушение. Мы ещё не научились бороться свои лева в обыкновенной жизни. отчего раскусить, что экое кража информации 90% народонаселения сейчас сложно. Если толковать о корпоративном торге, то уплетать укоренелое воззрение, о коем я объяснялся длиннее корпоративная служба безопасности может все сделать сама. А то, что оборудования для установленных обликов экспертиз может стоить 200 тысяч долларов это никого не интересует. Расследования проводятся непрофессионально и не владеют юридических перспектив. Сейчас всего-навсего прогрессивные западные и российские братии готовы к подобным услугам. 7. Как вы видаете развитие этого торга в краткосрочной и среднесрочной перспективе? Если законодательство будет развиваться столько же медлительно, ровно и сейчас, то чрез несколько лет в сети Интернет одолеет киберпреступность. И уже о торге будет толковать сложно. Я не подсмеиваюсь. 8. Каковы ваши планы на кратчайшую и долгосрочную перспективу? Сейчас мы запускаем несколько последних услуг, примерно защита бренда онлайн и Anti-phishing monitoring&Response, кои пособят в порядке реального времени являть угрозы против конкретного бренда: фишинг, жульничество (продажа контрафакта от имени прочий компании), угольный PR и кибесквоттинг. Что относится нашей защиты от DDoS, то сейчас мы готовы бороться от 25 ГБ/с атак, а уже к сентябрю будем хранить 40 ГБ/с плюс бороться от сложных интеллектуальных атак. столько же я лицезрю вящие перспективы в дальнейшем развитии проекта, какой выпускает нам аналитику по бот-сетям и иным кибер-активностям. Планируем и отдаленнее закупать и учреждать самостоятельно лучшее оборудование по кримина