Журнал "Information Security/ Информационная безопасность" #2, 2020

26 • ТЕХНОЛОГИИ При увеличении количества хакерских атак возрастает нагрузка на офицеров информационной безопасности, а при отсут- ствии автоматизированного сбора арте- фактов на личных устройствах конечных пользователей серьезно снижается время реакции в случае киберинцидента. Именно поэтому при удаленном доступе важной задачей является использование техноло- гий цифрового паспорта пользователя. Паспорт пользователя позволяет с помо- щью цифровых меток проводить контроль, управление и аудит прав доступа к элек- тронным документамMicrosoft Office (Word, Excel, Visio, PowerPoint). Эта технология ориентирована на выполнение норматив- ных требований Федерального закона от 29.07.2004 г. № 98-ФЗ "О коммерческой тайне" и является хорошим дополнением к существующим решениям обеспечения информационной безопасности в органи- зации, а также контроля потоков чувстви- тельной информации. При утечке инфор- мации такой подход позволяет персона- лизировать работников компании, которые вносили последние правки в документ, и идентифицировать нарушителя. 40 минут Инцидент-менеджмент подразумевает выстроенный процесс реагирования по регламентированным сценариям (Рlay- book), а также процесс расследования киберинцидентов и порядок сбора информации на скомпрометированной системе. Многие компании при рассле- довании инцидентов используют разно- родные решения в части ручного сбора артефактов и следов компрометации целевой системы. Отсутствие бесшов- ного процесса расследования и единой платформы значительно снижает время ответа группы ИБ-реагирования, и это, в свою очередь, позволяет злоумыш- ленникам своевременно скрыть следы компрометации. Сбор артефактов и доказательной базы в автоматизированном режиме при срабатывании решающего правила средства защиты информации позволяет уменьшить время реакции команды в среднем на 40 мин. при выполнении рутинных работ сбора дампов опера- тивной памяти, ключей реестров, жест- ких дисков, файлов и полного образа операционной системы. При организации удаленного доступа сотрудника компании задача сбора сле- дов компрометации стоит особенно остро, так как требуется осуществлять удаленное управление, проводить скры- тое расследование, выполнять постана- лиз инцидента в конечной точке, осу- ществлять внутреннее управление и сквозное обнаружение информации. Проблема выбора При выборе средств автоматизиро- ванного сбора данных скомпрометиро- ванной системы следует придерживаться решений, которые используют единую базу данных расследований и создают четкую картину событий. Технологиче- ский стек решения должен основываться на следующих принципах: l доказательная база должна прини- маться судами; l база данных должна обеспечивать скорость и отказоустойчивость; l должна быть широкая поддержка шифрования. Масштабируемость решения должна обеспечивать глубокое погружение в данные для расследования нарушений и выполнения нормативных требований при территориально распределенной структуре офисов, наличии крупных пулов и удаленных сотрудников. Это позволит быстро и скрыто реагировать на инциденты в дистанционном режиме, сохраняя при этом непрерывную цепочку событий. Использование такого подхода обеспечит: l агентную инфраструктуру сотрудников удаленного доступа; l скрытые расследования и сбор инфор- мации со множества удаленных точек; l широкую ролевую модель доступа для сотрудников службы информационной без- опасности и зональную ответственность; l криминалистически корректный (значимый) аудит. Построение единого решения для улуч- шения качества расследований в мас- штабах всего предприятия, кроме про- чего, улучшит оперативный сбор данных на удаленном рабочем месте, а фильт- рация по любым атрибутам в единой базе данных и извлечение только важной для исследования информации позволит оперативно реагировать на инцидент при расследовании. Заключение Таким образом, с помощью автомати- зации и использования централизован- ных инструментов анализа данных от скомпрометированной системы можно исследовать неизвестную активность во временном хранилище. Это позволит собрать доказательную базу в едином месте, оперативно использовать данные при расследовании компьютерного инци- дента и подготовке доказательной базы в рамках уголовного дела. При использовании технологий опре- деления цифрового паспорта пользова- теля и компонентов автоматизированного сбора информации для расследования инцидентов в случае утечки информации у удаленного сотрудника офицер ИБ оперативно сможет идентифицировать злоумышленника. Компоненты автома- тизированного сбора информации при расследовании инцидентов позволят своевременно собрать доказательную базу в дистанционном режиме. Единая база данных артефактов позволит опре- делить хронологию действий злоумыш- ленника, а при интеграции с решениями типа SIEM/SOAR и DLP значительно уменьшит время реакции при расследо- вании, когда используется режим уда- ленного доступа в компании. l Особенности расследования инцидентов, связанных с удаленным доступом ервые итоги перехода в режим самоизоляции показывают, что многие компании оказались неподготовленными к защите своих конфиденциальных данных и интеллектуальной собственности в новых условиях. Отдельные документы и целые базы данных то и дело всплывают у партнеров, конкурентов, на внешних интернет-ресурсах и тем более на черном рынке DarkNet/DeepWeb. Расследование таких инцидентов при дистанционной работе сотрудников заметно осложняется. П Ильяс Киреев, ведущий менеджер по продвижению CrossTech Solutions Group Ваше мнение и вопросы присылайте по адресу is@groteck.ru