DFIR w CSIRT. Real to nie CSI
Każdy kojarzy serial CSI nawet jeśli go nie ogląda. Nie każdy jednak ma świadomość, jak wpłynął na wizerunek informatyków śledczych. W serialu ich rola sprowadza się do czarów-marów na ekranach komputera. Specjaliści bezpieczeństwa IT raczeni takimi dawkami hollywoodzkich fantazji zaczęli patrzeć bardzo krytycznie i mało poważnie na serialowych informatyków śledczych.
Trudno im się dziwić. W końcu nawet osoba o podstawowej wiedzy IT, od razu zauważy, jak sceny pokazywane w serialu daleko odbiegają od rzeczywistości. Podświadomie powodują, że pracę „e-detektywów” oceniamy z przymrużeniem oka. Na szczęście nie wszyscy i nie wszędzie tak to widzą.
Informatyk śledczy w zespole CSIRT (czyli polskim ZRI – Zespole Reagowania na Incydenty) to powoli standard. I nie jest to chwilowa moda, a raczej trwały, umacniający się trend. Również w Polsce powoli zaczyna się to zmieniać.
O co w tym chodzi?
DFIR czyli Digital Forensic in Incident Response to nic innego, jak nasz swojsko brzmiący specjalista informatyki śledczej zajmujący się wsparciem reakcji na incydenty. W najbardziej dojrzałych organizacjach ma swoją rolę i zadania w tzw. zespołach wsparcia.
Podobnie jak służby starają się wykorzystać dowody cyfrowe do skutecznego oskarżenia przestępcy, podobnie menadżerowie IT, działy bezpieczeństwa i zespoły prawne mogą wykorzystać narzędzia informatyki śledczej w celu gromadzenia, analizy i przechowywania dowodów elektronicznych. Wszystko ma na celu obronę przed cyberatakami, powstrzymanie wycieków danych lub w dochodzenie wewnętrzne.
Informatyka śledcza w Incident Response to przede wszystkim:
- Wypełnienie wymogów dotyczących obsługi incydentów dla norm serii 27000, regulacji RODO, ENISA, itd.,
- Wsparcie wszelkich analiz w zespołach analiz incydentów, analiz malware i analiz forensics w ramach Security Operations Center,
- Narzędzia przygotowane do zaawansowanych analiz złośliwego oprogramowania, IOC (Indicators of Compromise) i wszelkich innych artefaktów systemowych,
- Dostępna w ramach rozmaitych szkoleń i akademii wiedza niezbędna do prowadzenia badań i właściwego zabezpieczania śladów,
- Możliwość pozyskania danych z różnych urządzeń – komputerów stacjonarnych, laptopów, urządzeń mobilnych, serwerów, drukarek, kserokopiarek, nawigacji GPS i tym podobnych.
- Bardzo głęboka „widoczność” procesów, akcji i działań, jakie wystąpiły w urządzeniach i systemach operacyjnych,
- Szerokie możliwości tworzenia raportów, podsumowań itp.,
- Umiejętność gromadzenia dowodów elektronicznych na wypadek postępowania przed sądem.
Część „śledcza” w reakcji na incydenty
Działania informatyka śledczego (analityka) mogą być niezbędne już do samego potwierdzenia, czy incydent w ogóle wystąpił. Tak jest np. w przypadku infekcji malware, gdzie stwierdzenie, że faktycznie nastąpiła wymaga zbadania zainfekowanej stacji roboczej. Po analizie śladów i złożeniu ich niczym puzzli incydent pojawi się w nowym świetle. Bez znaczenia stanie się fakt, że system antywirusowy nie zadziałał, bo wiemy że infekcja jest rzeczywista. Wiedza ta posłuży do analizy skali problemu i powstrzymania rozprzestrzeniania się malware na inne urządzenia tak, aby zminimalizować liczbę stacji roboczych, które zostaną dotknięte incydentem. Kolejny krok to wyeliminowanie przyczyn problemu. Bez względu na to czy jest to złośliwe oprogramowanie, nieautoryzowany dostęp do infrastruktury sieciowej, czy konta użytkownika, narzędzia informatyki śledczej pozwalają na usunięcie problemu niczym skalpel chirurgiczny.
Każdy system bezpieczeństwa musi być ciągle zarządzany, a więc podlegać procesowi, który nazywamy nauką z incydentu. Dlatego więcej wyniki analizy śledczej przekładają się również na aktualizację wewnętrznych procesów i procedur, aby w przyszłości uniknąć podobnych zdarzeń w przyszłości.
Odpowiednie narzędzia dające możliwości analizy, oceny i szybkiej reakcji w przypadku zagrożenia, to najlepsza droga do zapewnienia w organizacji wyższego poziomu bezpieczeństwa, a co za tym idzie ograniczenia ryzyka zakłócającego jej funkcjonowanie.
Informatyka śledcza w dochodzeniu korporacyjnym
Nie ma co ukrywać, wcześniej czy później każda organizacja stanie przed koniecznością przeprowadzenia dochodzenia w wydaniu informatyki śledczej. Sprawy sądowe, naruszenia danych, oszustwa, fraudy, zagrożenia wewnętrzne, kwestie dotyczące zasobów ludzkich, czy inne przypadki cyberzagrożeń są nieuniknione.
Firmy zatrudniające doświadczonych specjalistów bezpieczeństwa IT z całą pewnością mają opracowane wcześniej procedury i procesy uruchamiane w momencie wystąpienia incydentu. Zazwyczaj będzie to zebranie danych ze wszelkich możliwych źródeł, takich jak dyski twarde, przeglądarki internetowe, poczta e-mail, dzienniki rejestru plików, dane z IPS i firewall, a w niektórych przypadkach nawet z urządzeń poza siecią. W skład źródeł danych wejdą również urządzenia mobilne. Ich analiza będzie możliwa w zasadzie wyłącznie dla informatyka śledczego.
Nie trzeba tłumaczyć, że prawie każda aktywność pozostanie zapisana w urządzeniu, jako tzw. artefakt i będzie można poddać ją analizie informatyki śledczej. Dlaczego akurat temu rodzajowi analizy? Niezwykle ważne jest, żeby zapobiec możliwym przy przeglądaniu danych manipulacjom, tak aby ostateczny wyniki dochodzenia, nawet sąd uznał za wiarygodny. Nigdy bowiem nie wiadomo, jakie dane i która sprawa ostatecznie trafi przed sąd. Zdecydowanie lepiej jest być na to przygotowanym i zawczasu przeprowadzić analizę zgodnie z najlepszymi praktykami informatyki śledczej.
Do analizy informatyki śledczej używa się przede wszystkim sprawdzonych i uznanych narzędzi. Będą to na przykład EnCase Endpoint Investigator czy EnCase Mobile Investigator. Ważnym jest w takich przypadkach, aby dobrze ocenić skalę i poziom zagrożenia, jaki niesie dany incydent. Mając do czynienia z dużą ilością możliwych zagrożeń efektywność użytych rozwiązań w ramach DFIR ma znacznie.
Kilka porad praktycznych
Niekoniecznie musisz zatrudniać informatyków śledczych. Znaczna część organizacji decyduje się na wsparcie zewnętrzne w przypadku incydentu. Często wybierają nas.