Фреймворк для удаленных расследований

21 Июня 14:39

Основные принципы, которыми руководствуются специалисты при проведении компьютерно-технических экспертиз - целостность, достоверность, полнота, доступность результатов (результаты должны быть оформлены в таком виде, чтобы быть понятными лицам, которым будут предоставлены) и законность получаемой информации (Collecting Electronic Evidence After a System Compromise/Mathew Braid SANS Security Essentials). Если законность достигается в основном организационно-правовыми мерами, а доступность - мастерством написания отчётов, то первые три принципа - теми инструментами, которые использует организация.

Автор: Темирлан Мардан, эксперт Центра киберзащиты Сбербанка

В Службе кибербезопасности Сбербанка используются различные инструменты для проведения технических экспертиз. Туда входят как «must have» средства для снятия и анализа образов носителей и фреймворки, заточенные под более узкие задачи, так и специализированные решения для мобильной форензики и анализа больших объемов данных. Эти инструменты в большинстве своём содержат модули, нацеленные на обеспечение полноты, достоверности и целостности получаемых данных.

Но порой этих принципов недостаточно. Реагирование, локализация и передача инцидента в отдел расследований часто занимает больше времени, чем хотелось бы. И если учитывать тот факт, что специалистам необходимо выехать на место для получения данных, то становится совсем грустно. В результате несвоевременного начала расследования возникают ситуации, когда нужные журналы уже затёрты, а к данным уже обращались (читай - данные изменялись). Думаю, это проблема почти всех крупных компаний с большой IТ-инфраструктурой. В этом контексте немаловажным становится ещё один принцип - своевременность получения данных.

Актуальность данного принципа заставляет задуматься о таких инструментах, которые обеспечивают своевременное получение значимых цифровых доказательств в распределённой и разнородной инфраструктуре. В частности, о фреймворке для live-форензики Google Rapid Response (GRR).

GRR - фреймворк реагирования на инциденты с открытым исходным кодом от компании Google, предназначенный для live-форензики. Он разработан для удаленной работы с большим количеством различных географически распределенных клиентов.

В числе возможностей GRR - получение информации о клиенте (оборудование, пользователи), базовая аналитическая информация (журналы, записи реестра, список процессов), интеграция с фреймворком The Sleuth Kit (доступ к файловой системе), получение/сканирование дампов памяти (используя Yara) и многое другое.

В принципе, аналогичные возможности можно получить при помощи удаленного доступа к исследуемой машине и предустановке на ней ряда инструментов. Для работы с Yara-правилами, поиском по хэшам и т.п. (конечно, сначала проверив их совместимость и отсутствие недекларированных возможностей). Но явное преимущество GRR - это возможность одновременной централизованной работы с парком машин. И в случае инцидентов с участием группы машин у нас будет возможность быстрого определения нулевого пациента или источника атаки.

Полный текст статьи читайте в журнале «Банковские технологии», №5, 2019.

вернуться назад

События

Новости

Корпоративные новости