Korpo-forensics, czyli informatyka śledcza w skali korporacyjnej

Korpo-forensics wychodzi poza pierwsze skojarzenie związane z informatyką śledczą –  analizą pojedynczego komputera. Świat nie stoi w miejscu, a możliwości informatyki śledczej również się zwiększają. Obecnie na rynku dostępne są już ugruntowane technologie pozwalające na prowadzenie analiz śledczych w czasie rzeczywistym w skali całej organizacji. Bez względu na to czy w firmie jest dwa tysiące, czy dwadzieścia tysięcy stacji roboczych.

Co więcej technologie informatyki śledczej pracują w tle cały czas, więc dział bezpieczeństwa nie musi po wystąpieniu incydentu, zabezpieczać pojedynczych stacji i wykonywać reaktywnej analizy przechodząc od komputera do komputera. Dane zbierane są ”ad hoc” w skali całej organizacji pozwalając w przeciągu kilku chwil na przeprowadzenie analizy skali, zebranie wyników, zabezpieczenie śladów, a  co najważniejsze, umożliwiają przeprowadzenie natychmiastowej remediacji. Daje to możliwość usunięcia zagrożenia ze wszystkich narażonych na ryzyko stacji roboczych w jednej chwili. To właśnie jest wyższy poziom bezpieczeństwa!

„Korpo-forenscis”. O co w tym chodzi?

To tak naprawdę nasze robocze określenie na nachodzące na siebie znaczeniowo zagadnienia Endpoint Security, Incident Response, Cybersecurity, Computer Forensics i Digital Investigations. W dużym uproszczeniu polega to na wykorzystaniu specjalistycznych technologii analitycznych na końcówkach takich jak laptopy, komputery stacjonarne, czy serwery.

Ciągła praca agentów na końcówkach umożliwia szybką i efektywną reakcję na zagrożenia, próby przełamywania zabezpieczeń, monitoring ruchu sieciowego czy niebezpieczne zachowania poszczególnych użytkowników.

Rozwiązanie „korpo-forensics” są odpowiedzią na rozwój firm, w których pracuje tysiące maszyn często rozsianych po wielu lokalizacjach w kraju, kontynencie, a nawet całym świecie. Tutaj przychodzi nam do głowy scena z „Misia”, dobrze obrazująca zmiany, o których piszemy:

 

Technologie związane z informatyką śledczą pozwalają na szczegółową analizę wykonywaną w sposób zdalny. Unika się w ten sposób starty czasu wynikającej z potrzeby fizycznego przemieszczenia się pracowników działu bezpieczeństwa. To oszczędność wielu roboczogodzin pracy i zwiększenie skuteczności działania – oszczędzony czas może zostać przeznaczony na inne działania lub kolejne incydenty.

Informatyka śledcza w korporacji

Jeśli to co przeczytałeś do tej pory wydaje Ci się znajome i doszedłeś do przekonania, że piszemy o analizach bezpieczeństwa IT to po pierwsze o różnicach między analizami security, a informatyki śledczej pisaliśmy w tym tekście.

A po drugie to przeczytaj poniżej o elementach związanych z typową informatyką śledczą, których raczej nie uświadczysz w narzędziach IT Sec. „Korpo-forenscis” to przede wszystkim możliwość zabezpieczania, zbierania i akwizycji danych z wielu maszyn w różnych lokalizacjach jednocześnie, gdy to konieczne, nawet bez wiedzy użytkowników. Może to robić dział bezpieczeństwa samodzielnie lub z naszą pomocą.

Poniżej dwa przykłady, jak to wygląda w praktyce.

Przykład pierwszy – nielojalny pracownik

„Korpo-forenscis” to również zapewnienie ciągłego dostępu do danych w przypadku pracownika podejrzanego o nielojalne lub nieetyczne działania. Dział bezpieczeństwa (albo my na Wasze zlecenie 😉 ) łączy się z agentem na urządzeniu pracownika poufnie zbierając dane do analizy, niezależnie gdzie ten pracownik się znajduje. Prowadzone w ten sposób wewnętrzne dochodzenie kończy się finalnym raportem. Co najważniejsze, narzędzia dedykowane informatyce śledczej, pracują w zgodzie z tzw. dobrymi praktykami, zatem całość wyników analizy jest gotowym materiałem dowodowym dla sądu.

Największe działanie „korpo-forensics”, jakie przeprowadziliśmy obejmowało ponad 1000 komputerów w jednej z instytucji kojarzonych z pieniędzmi. Wynik? Dostarczyliśmy ekspertyzę wyjaśniającą co i kiedy się wydarzyło oraz którzy pracownicy brali w tym udział.

Przykład drugi – próba włamania

System SIEM alertuje, że Iksiński podejmuje wielokrotne, nieudane próby logowania się do systemu HR. Dzięki integracji SIEM z systemem HR wiemy od razu, że Iksiński jest od kilku dni na L4. Dzięki integracji SIEM z systemem czytników RCP wiemy, że Iksiński nie odbijał dziś swojej karty. Zintegrowane z SIEM narzędzie „korpo-forensics”, czyli EnCase Endpoint Security pozwala natychmiast zbadać stację, przeanalizować listę aplikacji i rzeczywiście potwierdzić, że w pamięci pracuje „coś dziwnego”. Ubijamy proces i wykonujemy remediację. W dalszej kolejności zlecamy analizę IOC w skali całej sieci. Okazało się, że jeszcze 9 innych stacji było zainfekowanych. Generujemy raport i… po incydencie.

Jeśli chciałbyś dowiedzieć się więcej o „korpo-forensics” i czy da się wykorzystać je w Twojej organizacji zapraszamy do kontaktu. Z przyjemnością umówimy spotkanie.