Расследование компьютерных инцидентов и преступлений. СЕН3

Каждые сутки обрабатываются полтора миллиона событий ИБ, поступающих от различных систем и устройств: IDS, IPS, межсетевых экранов, сканеров состояния защищённости, антивирусов, сетевых устройств. Автоматизированная обработка выявляет события, влияющие на безопасность, для последующего детального анализа. Аналитики компании вручную исследуют 180–200 событий. Каждое такое подозрительное событие является потенциальным инцидентом ИБ, с которым связана вероятность компрометации данных и нарушения конфиденциальности, целостности и доступности.

Инцидент - негативное событие с финансовыми, правовыми и репутационными последствиями для жертвы компьютерной атаки. Если организация хочет быть готовой противостоять злоумышленникам, она должна реагировать на каждый такой случай. И мы можем в этом помочь.

Наша работа по расследованию инцидентов состоит из 5 этапов.

Выявление инцидента информационной безопасности

Инцидент информационной безопасности может обнаружить дежурная смена Центра мониторинга. Или к нам может обратиться непосредственно владелец ресурса, если в его информационной системе есть подозрительная активность, при которой внедрённые ранее средства защиты информации «молчат». При этом у объекта атаки может быть недостаточно ресурсов или опыта для расследования инцидента.

Мы также можем определить, подвергалась ли организация атакам в прошлом и был ли какой-либо ущерб, проанализировав имеющиеся записи журналов различных систем.

Сдерживание

Главная задача после обнаружения инцидента - не допустить компрометации данных и снизить влияние на бизнес-процессы. Для этого заказчик локализует атакованный узел и блокирует вредоносную активность.

Мы взаимодействуем с ведомственными и корпоративными центрами реагирования на кибератаки , чтобы получать информацию об угрозах и методах противодействия в реальном времени.

Сбор доказательств

На этом этапе мы находим и документируем любые сведения, связанные с инцидентом, чтобы ответить на следующие вопросы:

• Что произошло?
• Когда произошло?
• Объект атаки?
• Откуда «пришла» атака?
• Каковы цели и мотивация атакующего?
• Кто был вовлечён в проведение атаки со стороны жертвы?
• Какие методы, уязвимости и инструменты использовал атакующий?

Ликвидация последствий

После того, как мы соберём информацию об инциденте, заказчик расследования может запускать процессы восстановления после инцидентов ИБ. Если таких процессов нет, мы поможем восстановить работоспособность затронутых атакой информационных систем и ресурсов.

Недопущение повторения

После анализа результатов расследования компьютерного инцидента мы даём рекомендации по изменению настройки и состава средств защиты информации, которые могут предотвратить повторение инцидента в будущем или закрывают наиболее критичный вектор атак.

Результаты

• Заключение по результатам расследования инцидента.
• Документированная информация об инциденте и собранные доказательства.
• Результаты анализа причин, развития и последствий инцидента, предположения о виновных лицах.
• Рекомендации по недопущению подобных инцидентов в будущем.

Комплексное обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования инцидентов в сфере обращения компьютерной информации. В курсе подробно разбираются все аспекты деятельности службы безопасности (отдела информационной безопасности) организации при реагировании на инциденты в информационной системе, в том числе методика предупреждения таких инцидентов, ликвидации нанесенного ими ущерба, пресечения хакерской активности, перекрытия каналов незаконного съема информации и выявления виновных лиц.

Слушатели изучают факторы риска, представляющие наибольшую опасность для информационных систем организации. На основе обобщения большого числа компьютерных инцидентов (КИ) даются рекомендации по снижению их вероятности. На конкретных примерах рассматриваются недочеты деятельности службы безопасности, создающие предпосылки для появления уязвимостей в информационной инфраструктуре организации, разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба. Подробно изучается весь комплекс неотложных юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами и специализированными организациями. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанными с этим сложностями применения западных методик расследования КИ в России.

Входит в комплексные программы

• БТ155

Аудитория

Руководители и ответственные сотрудники служб безопасности, руководители подразделений автоматизации и технической защиты информации организаций, в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации, составляющей коммерческую тайну, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.

Предварительная подготовка

Базовые знания о современных информационных технологиях и распределенных автоматизированных системах.

По окончании обучения

Вы приобретете знания по:

• о классификации и видах КИ;
• о наиболее существенных угрозах для компьютерной информации организации и методах защиты от них;
• об основных предпосылках возникновения КИ в организации и методам их предупреждения;
• о методах расследования КИ в РФ и за рубежом, государственных и частных организациях, осуществляющих такие расследования, и конструктивном взаимодействии с ними;
• о юридических основах успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством;
• об основных способах обеспечения непрерывности функционирования информационной системы организации в случае возникновения КИ и скорейшего устранения их последствий.

Вы сможете:

• Комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности службы безопасности предприятия
• Планировать действия по поддержанию и восстановлению работоспособности автоматизированных систем организации при возникновении КИ
• В случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Пакет слушателя

• Фирменное учебное пособие
• Подборка юридических и технических документов, справочная информация, а также образцы основных документов в электронном виде, составляемых в ходе расследования КИ

Дополнительно

После успешной сдачи зачета выпускники получают свидетельства об обучении Учебного центра "Информзащита".

Обучение на данном курсе учитывается при получении документов установленного образца в области информационной безопасности в Учебном центре «Информзащита» в соответствии с Положением об условиях получения специалистами документов о повышении квалификации в области защиты информации.

Выпускники Учебного центра могут получать бесплатные консультации специалистов центра в рамках пройденного курса.

Программа учебного курса

Раздел 1. Информация и ее роль в бизнесе. Понятие компьютерного инцидента

• Основные понятия в сфере оборота информации. Возможные последствия несанкционированного доступа к критически важной информации. Некоторые примеры инцидентов.
• Понятие и классификация КИ. Узкое и расширенное толкование КИ. Неизбежность КИ как следствие невозможности создания абсолютной защиты. Основные стадии КИ (подготовка, развитие, скрытие следов).

Раздел 2. Факторы угроз для информации в организации и их классификация

• Ненадлежащая политика руководства организации. Отсутствие подготовленного персонала. Отсутствие формально ответственных лиц. Использование "пиратского" программного обеспечения. Игнорирование рекомендаций службы безопасности, непринятие профилактических мер. Возможные последствия такой политики на примере некоторых организаций.
• Нарушители правил из числа персонала организации. Различные категории нарушителей требований политики безопасности. Методы предотвращения вредных последствий от их деятельности.
• Деятельность хакеров. Социальный состав хакеров. Цели и методы их деятельности. Возможные последствия. Некоторые мифы и суеверия о хакерах.
• "Традиционные" злоумышленники. Воры, рэкетиры, террористы и возможные последствия их действий. Изменение некоторых концепций в сфере информационной безопасности в свете роста количества террористических актов.
• Неправомерная деятельность отдельных представителей государственных органов. Возможные причины интереса со стороны контролирующих органов. Налоговые проверки, "крышевание", действия в интересах конкурентов. Методы минимизации возможного ущерба от неправомерной деятельности.
• Несчастные случаи и стихийные бедствия. Возможные последствия. Методы минимизации ущерба.

Раздел 3. Основные предпосылки для возникновения КИ

• "Однобокая" или неправильно сбалансированная служба безопасности (СБ). Некоторые типичные недочеты при комплектовании СБ организаций и последствия этих недочетов. Нарушение взаимодействия трех компонентов СБ. Неверный выбор имиджа СБ в организации.
• Проблемы в работе с персоналом. Отсутствие подготовленного персонала. Поручение работ по защите информации случайным лицам. Отсутствие единой политики информационной безопасности. Недопустимость использования IT-специалистов для обеспечения информационной безопасности. Недочеты в работе с персоналом, в том числе с уволившимися сотрудниками.
• Уязвимости в программном обеспечении (ПО). Наличие скрытых уязвимостей в используемых программных средствах, в том числе, вследствие использования пиратского ПО. Несоблюдение процедур инсталляции и обслуживания ПО. Консультации со случайными лицами и их последствия.
• Беспечность ответственных сотрудников. Игнорирование предупреждений со стороны компетентных государственных органов и персонала. Непринятие мер к своевременному расследованию КИ. Игнорирование сигналов от защитных программных и аппаратных средств.

Раздел 4. Расследование КИ в РФ и за рубежом

• Компетентные государственные органы, осуществляющие расследование КИ в РФ и США. Подразделения «К» БСТМ МВД РФ. ФСБ РФ. Секретная служба Министерства финансов США. ФБР США. Интерпол. Некоторые возможности этих организаций в расследовании КИ.
• Существенные различия в юридической системе РФ и США. Влияние этих различий на расследование КИ. Ограничения в применении в РФ западных методик предотвращения и расследования КИ.
• Международное взаимодействие в расследовании КИ. Доказательственное значение материалов, полученных из-за границы. Типичные ошибки при сборе информации за рубежом.
• Негосударственные организации, занимающиеся расследованием КИ на территории РФ, и их возможности. Профессиональные ассоциации, охранно-детективные структуры, службы безопасности провайдерских компаний.

Раздел 5. Основные меры по минимизации нанесенного КИ ущерба

• Комплексная система безопасности на предприятии. Увязка в едином комплексе организационно-административных, программно-технических, физических и технических мер как необходимое условие для минимизации нанесенного КИ ущерба. Невозможность решения проблем безопасности каким-либо одним способом. Примеры таких попыток и их последствия.
• План обеспечения непрерывности работы и восстановления работоспособности АС организации (ОНРВ). Необходимость предварительной подготовки плана действий в случае КИ с учетом различных видов КИ. Автоматизм в исполнении плана.
• Адекватная политика информационной безопасности. Недопустимость политики реагирования "по факту" КИ. Повышение осведомленности сотрудников организации в вопросах информационной безопасности.

Раздел 6. Юридические предпосылки для минимизации нанесенного КИ ущерба

• Законодательство РФ. Законы "Об информации, информатизации и защите информации", "О правовой охране программ для ЭВМ и баз данных", "О коммерческой тайне" и предъявляемые ими требования. Уголовный кодекс и Кодекс об административных правонарушениях РФ.
• Криптографические средства. Правовое регулирование работ с криптографическими средствами защиты информации в РФ.
• Правовая защита информации в организации. Реализация режима коммерческой тайны на предприятии в отношении существенной информации. Ознакомление с этим фактом всех заинтересованных лиц. Размещение предупреждений на сервере организации.
• Обеспечение представительства интересов организации. Выдача постоянно действующей доверенности на право представления интересов предприятия и заверенных копий всех правоустанавливающих документов лицам, ответственным за информационную безопасность. Возможность внесения соответствующих изменений в устав организации.
• Организация взаимодействия с правоохранительными органами. Предварительное установление и поддержка контакта с правоохранительными органами.

Раздел 7. Технические предпосылки для минимизации нанесенного КИ ущерба

• Средства протоколирования. Использование средств протоколирования всех подозрительных действий, мониторинга активности пользователей для выявления КИ на ранней стадии. Обеспечение доказательственного значения файлов протоколов.
• Перекрытие технических каналов снятия информации. Основные методы несанкционированного съема информации (активные и пассивные радиозакладки, отражатели, электронно-оптические преобразователи, направленные микрофоны, стетоскопы, средства внешнего контроля). Нестандартные приемы съема информации (волноводы, тайники, ВЧ-навязывание). Некоторые средства защиты. Непрофессиональный подход к технической защите информации и его последствия.
• Обеспечение резервного копирования данных. Периодическое полное и дифференциальное копирование. Обеспечение защищенных зон для хранения информации.
• Доказательственное значение файлов протоколов в случае официального и частного расследования .
• Дистанционная работа сотрудников как средство обеспечения безопасности информации. Диверсификация информационных ресурсов предприятия.

Раздел 8. Практические методы контроля коммуникаций в организации

• Контроль рабочих мест сотрудников. Использование кейлоггеров и "троянских" программ. Внедрение контрольного ПО на рабочие места. Обеспечение "невидимости" контрольного ПО для антивирусных программ. Снятие файлов протоколов.
• Контроль активности сотрудников. Использование методики honey pot. Отслеживание обращений к критичным файлам. Протоколирование действий сотрудников с помощью специальных программных средств.
• Контроль трафика электронной почты и обращения к Web-сайтам. Виды активности, которые требуется контролировать.
• Контроль телефонных переговоров сотрудников. Использование стандартного программного обеспечения мини-АТС.
• Использование результатов контрольных мероприятий. Анализ файлов протоколов. Построение профилей активности сотрудников. Методика реагирования на недопустимые действия сотрудников. "Мягкое" и "жесткое" пресечение недозволенной активности.

Раздел 9. Действия в случае возникновения КИ

• Неотложные действия. Алгоритм действий при возникновении инцидентов. Рекомендации NIPC США и возможность их адаптации к российским условиям.
• Взаимодействие с государственными и негосударственными органами. Решение вопроса об обращении в правоохранительные органы. Взаимодействие с негосударственными организациями и специалистами по информационной безопасности.
• Выявление и устранение предпосылок, способствовавших возникновению КИ
• Восстановление работоспособности системы после КИ согласно плану ОНРВ
• Специфика реагирования при возникновения КИ вследствие неправомерных действий отдельных представителей государственных органов. Обеспечение правовой и физической защиты информации. Документирование неправомерных действий.

Раздел 10. Действия после обращения в государственные органы

• Взаимодействие с правоохранительными органами в ходе расследования. Официальное обращение в государственные органы. Возбуждение уголовного дела.
• Выявление злоумышленника. Оценка нанесенного злоумышленником ущерба с учетом морального вреда и упущенной выгоды организации.
• Сбор доказательств преступной деятельности злоумышленника. Недопустимость применения незаконных методов сбора доказательств. Различие между служебным расследованием в рамках организации и оперативно-розыскной деятельностью. Участие правоохранительных органов.
• Представительство интересов организации на предварительном следствии и в суде. Некоторые сложности, которые могут при этом возникнуть.
• Использование статуса потерпевшего для получения информации об истинных мотивах и методах действий злоумышленника. Необходимость полного и окончательного расследования КИ. Раскрытие возможных пособников злоумышленника внутри организации.
• Устранение причин, способствовавших возникновению КИ. Обеспечение невозможности возникновения КИ в будущем.

Раздел 11. Изъятие и исследование компьютерной техники и носителей информации

• Правовые основы для изъятия и исследования компьютерной техники. Основные принципы изъятия имущества в ходе расследования уголовного дела (обыск, выемка, осмотр, добровольная выдача) и в административном порядке (осмотр). Правовой статус специалиста.
• Методика изъятия компьютерной техники и носителей информации. Обеспечение доказательственного значения изъятых материалов. Описание и пломбирование техники.
• Методика исследования компьютерной техники. Общие принципы исследования техники. Программное средство EnCase. Выводы эксперта и экспертное заключение.

Раздел 12. Практическая работа - расследование реального инцидента

• Постановка задачи. Вводная информация о выявлении инцидента в сфере информационной безопасности.
• Планирование расследования. Самостоятельное планирование хода расследования слушателями. Групповое обсуждение и корректировка плана.
• Пошаговое расследование инцидента. Самостоятельное поэтапное проведение полного цикла расследования с использованием информации, добытой на каждом этапе. Исследование зараженного компьютера. Составление всех необходимых документов. Использование технических средств и организация поисковых мероприятий в сети Интернет.

Итоговый зачет

«Лаборатория Касперского», признанный лидер в области разработки решений для обеспечения IT-безопасности, теперь предлагает услуги по расследованию компьютерных инцидентов. Ведущие эксперты в сфере анализа вредоносного ПО в сотрудничестве со специалистами, имеющими большой опыт работы в правоохранительных органах, помогут вам в расследовании компьютерного инцидента и эффективном устранении его последствий.

• Оперативный анализ компьютерного инцидента

  На данном этапе перед специалистами «Лаборатории Касперского» стоит задача помочь организации взять ситуацию под контроль, восстановить возможную картину происшедшего, определить использованные злоумышленниками инструменты и методы, а также по возможности идентифицировать вовлеченные в инцидент компьютеры и мобильные устройства.

  В ходе предварительной консультации по телефону специалисты «Лаборатории Касперского» проинструктируют вас о том, какие действия необходимо немедленно предпринять для локализации и сдерживания инцидента, а также для минимизации возможного ущерба.

  Затем специалисты «Лаборатории Касперского» выезжают на место происшествия для выявления затронутых инцидентом устройств и носителей информации, корректного копирования данных для их последующего анализа, а также для оформления документов, необходимых правоохранительным органам для проведения дальнейшего расследования и возбуждения уголовного дела.

  Собранные данные тщательно анализируются и проверяются на наличие вредоносного ПО. В случае его обнаружения исследуется способ распространения вредоносного ПО, совершаемые им в системе действия и возможные пути заражения. После этого специалисты «Лаборатории Касперского» составляют рекомендации по удалению вредоносного ПО и ликвидации последствий заражения.

  По результатам первого этапа клиенту предоставляются:

  • Рекомендации для быстрого восстановления инфраструктуры и бизнес-процессов, затронутых инцидентом
  • Корректно оформленные цифровые свидетельства и экспертное заключение, которые могут потребоваться при обращении клиента в правоохранительные органы
  • Описание наиболее вероятных механизмов и сценария атаки

• Расследование компьютерного инцидента

  В некоторых случаях для возбуждения уголовного дела необходимо провести дополнительное расследование, чтобы понять, откуда и как было произведено вторжение, а также установить лиц, причастных к инциденту.

  Аналитики «Лаборатории Касперского» работают одновременно по всем направлениям, которые могут помочь расследованию, – от поиска финансовых следов и исследования технических аспектов инцидента до сбора информации в хакерских сообществах и сопоставления ее с фактами, обнаруженными в ходе расследования. Специалисты «Лаборатории Касперского» регулярно обсуждают с клиентом текущие результаты расследования и его дальнейшие перспективы.

  По результатам расследования клиент получает итоговый отчет, который отражает результаты всех этапов проведенного расследования, содержит подробную схему инцидента и заключение о выявленном источнике атаки. Как правило, материалов, содержащихся в этом отчете, достаточно для возбуждения правоохранительными органами уголовного дела в отношении конкретных лиц, стоящих за инцидентом. Кроме того, четкое понимание сценария и механизмов атаки позволяет выстроить правильную стратегию защиты от подобных атак в будущем.

• Экспертное сопровождение уголовного дела

  После возбуждения правоохранительными органами уголовного дела специалисты «Лаборатории Касперского» могут участвовать в его расследовании в качестве официальных представителей клиента. Это позволяет ускорить расследование уголовного дела и повысить вероятность его успешного завершения.

  В рамках сервиса «Расследование компьютерных инцидентов» осуществляется аналитическая и информационно-техническая поддержка правоохранительных и следственных органов, подача ходатайств о производстве необходимых следственных мероприятий, участие в них и выполнение других действий, предусмотренных законодательством.

  Сотрудничая с «Лабораторией Касперского» на этапе ведения уголовного дела, ваша организация не тратит лишнее время на общение с правоохранительными органами и может быть уверена в том, что наши опытнейшие эксперты используют все имеющиеся в их распоряжении возможности для сбора необходимых доказательств. Вынесение по уголовному делу обвинительного приговора дает возможность обратиться с гражданским иском о компенсации ущерба.

  Опыт показывает, что успешное расследование уголовного дела создает компании репутацию «опасной жертвы», после чего другие преступные группировки предпочитают с ней не связываться.

ТЕХНИЧЕСКИЕ НАУКИ

ТЕХНОЛОГИИ РАССЛЕДОВАНИЯ КОМПЬЮТЕРНЫХ

ИНЦИДЕНТОВ Бутин А.А.

Бутин Александр Алексеевич - кандидат физико-математических наук, доцент, направление: информационная безопасность, кафедра информационных систем и защиты информации, Иркутский государственный университет путей сообщения, г. Иркутск

Введение

Необходимо признать, что компьютерные преступления (инциденты) всегда совершались, совершаются и будут совершаться. Не существует системы защиты, которую нельзя обойти или сломать при наличии достаточного количества ресурсов. Даже если защита от вторжений идеальна по внешнему периметру, всегда есть субъекты, которые обслуживают систему внутри, т.е. имеют легальный доступ к ней.

Ежегодно из-за компьютерных преступлений теряются огромные финансовые средства. Сейчас вряд ли можно найти человека или организацию, которые не сталкивались бы с банальными компьютерными вирусами. Один вирус, принесенный на флеш-накопителе или полученный по почте, может уничтожить всю базу данных организации.

Эти потери могут быть невосполнимыми и зачастую от них нельзя застраховаться. Существует базовый способ борьбы с компьютерной преступностью. Это постоянное отслеживание состояния защищаемой системы, создание резервных копий, систематическое обновление программных продуктов и установка пакетов обновления безопасности. Но и эти меры не будут гарантировать стопроцентной защиты, т.к. может получиться, что злоумышленник будет искать уязвимость именно в данной системе и эта уязвимость будет уникальной. Следовательно, узнать об этом можно только после того, как компьютерный инцидент произойдет. И тогда нужно будет направить все силы на его расследование и выявить, каким же именно способом и кем он был совершен. Если этого не сделать, инцидент может повториться. Ниже приводится одна из возможных технологий расследования компьютерных инцидентов (наряду с опубликованными -).

Методология расследования компьютерных инцидентов. Методология реагирования на компьютерный инцидент предназначена для решения следующих задач:

Подтверждение или опровержение самого факта инцидента;

Сбор достоверной информации об инциденте;

Контроль за правильностью обнаружения и сбора фактов;

Защита гражданских прав, установленных законом и политикой информационной безопасности;

Минимизация влияния на основные операции организации;

Формирование гражданских и уголовных исков к нарушителям;

Компьютерные инциденты часто приводят к сложным и многофакторным проблемам. Как и любая другая сложная техническая проблема, реакция на инциденты может рассматриваться как черный ящик. Проблемы разделяются на составные части, затем исследуется входная и выходная информации каждого компонента. Поэтому предложенная методология реакции на инциденты состоит из следующих процедур:

Подготовка к инциденту - действия, которые позволяют подготовиться к возможным инцидентам.

Выявление инцидентов - исследование подозрительных инцидентов в системе безопасности.

Первоначальная реакция - проведение первоначального расследования, получение наиболее очевидных фактов (включая свидетельские показания) и подтверждение самого факта инцидента.

Формирование стратегии реакции на инцидент - на основе собранных фактов определяется наиболее эффективная реакция на инцидент, которая утверждается руководством компании.

Дублирование (судебное резервное копирование) - создание материалов для предоставления в судебные инстанции для расследования инцидента или получения дополнительных фактов.

Исследование - проведение подробного изучения того, что произошло, кто это сделал и как можно предотвратить подобные инциденты в будущем.

Реализация мер безопасности - активное воздействие на пострадавшую систему, предполагающее проведение мероприятий безопасности для изоляции и устранения последствий инцидента.

Сетевой мониторинг - исследование операций в сети для изучения и защиты пострадавших сетевых устройств.

Восстановление - возобновление нормального операционного состояния пострадавшей системы.

Отчет - точное документирование всех подробностей расследования и применение мероприятий безопасности.

Завершение работы - анализ предпринятых действий, изучение полученного опыта и устранение всех выявленных проблем.

Подготовка к инциденту. Компьютерные инциденты являются случайными, поэтому исследователи заранее не знают, когда произойдет очередной инцидент в системе безопасности. Более того, исследователи вообще не могут получить управление и не имеют доступ к компьютеру, пока на нем не произойдет инцидент. Однако, как и с научным прогнозированием землетрясений или ураганов, можно с уверенностью сказать, что инцидент может произойти. И это поможет хорошо подготовиться и к очередному инциденту.

При подготовке к инциденту предполагается не только получение программных инструментов и технологий, но и некоторые действия в системе и сети для предварительной подготовки к реакции на инцидент. Если исследователи могут немного контролировать компьютеры и сеть, то можно предпринять разнообразные предварительные действия, которые помогут ускорить реакцию после возникновения инцидента. Например, можно усовершенствовать процедуру входа на хосты и в сети, а также регулярно проводить резервное копирование.

Вне зависимости от полномочий доступа к потенциальным жертвам инцидентов (т.е. к хостам и сетям), необходимо заранее распределить роли между членами команды реакции на инцидент, а также подготовить оборудование и программные средства для этой реакции.

Идентификация жизненно важных активов компании. Основой подготовки к инциденту является создание предпосылок для выработки быстрых ответов на вопросы, возникшие после инцидента. Среди этих вопросов:

Что реально произошло?

Какие системы затронуты инцидентом?

Какая информация скомпрометирована?

Какие файлы были созданы, изменены, скопированы или удалены?

Что могло стать причиной инцидента?

Кого следует уведомить об инциденте?

Какие действия нужно предпринять для быстрого возобновления бизнес операций в компании?

Первым этапом в подготовке к возможным инцидентам должна стать безопасность сети. Необходимо затратить время на исследование потенциальных рисков, связанных с компьютерными инцидентами:

Что больше всего может повредить компании: остановка бизнеса, потеря репутации, снижение уровня доверия или кража критически важной информации?

На чем следует сосредоточиться: на краже интеллектуальной собственности, изменении данных или разрушении важных информационных архивов?

Кто представляет наибольшую опасность для компании?

Имея общее представление о возможных рисках, компании должна сформировать правила для безопасности наиболее важных активов, правила станут базой для формирования политик и процедур безопасности активов компании.

Для защиты сети от атаки можно применять мероприятия безопасности на уровне хостов или на уровне всей сети в целом. В любом случае следует предотвращать возможные атаки и регистрировать попытки неавторизованного доступа.

В некоторых случаях можно позволить атакующему продолжить свои операции, но тщательно отслеживать все неавторизованные или незаконные действия.

Подготовка отдельных хостов. Что необходимо выполнить на каждом компьютере, чтобы гарантировать быструю и эффективную реакцию на инцидент? Приведем несколько рекомендаций, которые помогут в любом исследовании наиболее эффективных методов реакции на инцидент:

Запись криптографической контрольной суммы всех важных файлов;

Усиление или разрешение аудита безопасности;

Создание индивидуальных средств безопасности каждого хоста;

Резервное копирование критически важных данных и хранение полученных архивных носителей в безопасном месте;

Обучение пользователей методом индивидуальной защиты хостов;

Если надежно защищены все хосты, можно избежать многих инцидентов компрометации безопасности. При подготовке к инцидентам обязательно должны учитываться индивидуальные средства защиты хостов. Действия по увеличению безопасности хостов не только снизят вероятность инцидентов, но и упростят расследование после возникновения компьютерного инцидента.

Необходимо убедиться, что используются последние версии операционной системы и приложений;

Следует отключить неиспользуемые службы;

Нужно внимательно отнестись к настройке конфигурационных параметров;

Большое количество уязвимостей в системе безопасности связаны только с

ошибками системных администраторов.

Подготовка сети. Многие сетевые средства помогут реагировать на компьютерные инциденты. Необходима сетевая регистрация событий, которая во многих случаях предоставит неоспоримые (а иногда и единственные) факты вторжения. Поэтому в реакции на инцидент важную роль играет сетевой администратор.

Сетевой администратор отвечает за сетевую архитектуру и топологию, поэтому может дать полный ответ на вопрос: «Какие системы могут быть скомпрометированы во время инцидента?». Именно сетевой администратор обслуживает брандмауэры, маршрутизаторы и системы выявления вторжений IDS (Intrusion Detection Systems), которые дают критически важные файлы журналов регистрации. Сетевой

администратор поможет изменить конфигурацию некоторых устройств для блокирования определенных потоков трафика во время реакции на инцидент.

К сетевым мероприятиям безопасности относятся:

Установка брандмауэров и систем IDS;

Использование списков управления доступом в маршрутизаторах;

Создание сетевой топологии, облегчающей мониторинг;

Шифрование сетевого трафика.

Установка подходящей политики и процедур безопасности. Политика, принятая на предприятии может способствовать или препятствовать расследованию компьютерного инцидента, связанного с нарушением безопасности.

Без учета действующей политики сотрудники не смогут ожидать обеспечения своих гражданских прав, а руководство не сможет проводить мониторинг ежедневной работы сотрудников, знакомиться с почтовыми сообщениями, анализировать привычки при перемещении в Web, получать доступ к системам голосовой почты или узнавать о содержимом компьютерных систем своих сотрудников.

Уволившийся сотрудник способен переслать по e-mail важные промышленные секреты, а хакеры - получить полный доступ к корпоративной сети.

Без установки правильной политики нельзя легально проводить мониторинг таких незаконных действий.

После инцидента с нарушением безопасности расследование может предполагать вторжение, например, проведение мониторинга действий сотрудников или неавторизованных в сети взломщиков. Подготовка, планирование, формирование правильной политики и другие внутренние мероприятия, с которыми придется столкнуться, определяются целями, поставленными при реакции на инцидент.

Формирование команды реагирования на инцидент. Сбор команды реагирования, после того, как произошел компьютерный инцидент нарушения безопасности системы, может значительно увеличить время реагирования и расследования инцидента, и снизить результативность работы. Неподготовленный и нетренированный персонал не сможет достичь успеха. В состав команды реагирования должны войти люди, которые обращают внимание на все детали происходящих событий, держат их под контролем, не пропускают важных фактов и тщательно документируют свои действия.

Целями команды реагирования на инциденты являются:

Реакция на все явные и предполагаемые компьютерные инциденты в организации и проведение установленной процедуры расследования;

Беспристрастное (насколько это возможно) и полное расследование инцидента;

Быстрое подтверждение или опровержение факта вторжения или нарушения безопасности систем;

Определение ущерба и области действия инцидента;

Установка линии постоянной связи (24 часа, 7 дней в неделю) для клиентов на время проведения расследования;

Контроль и подавление последствий инцидента;

Сбор фактов и документирование инцидента;

Прослеживание цепочки взаимосвязанных событий (защита фактов во время сбора информации об инциденте);

Привлечение дополнительных сил (при необходимости);

Защита гражданских прав, установленных законом и/или корпоративной политикой;

Обеспечение взаимодействия с органами правопорядка и судебными инстанциями;

Обеспечение должного уровня конфиденциальности, позволяющего защитить от утечки информации, которая может скомпрометировать организацию;

Проведение сбора свидетельских показаний;

После инцидента первым мероприятием должно стать назначение одного из сотрудников руководителем команды реагирования или присвоением ему полномочий главного следователя. В этом случае сотрудник получит в команде право на окончательное решение (демократические принципы существенно замедлят работу команды реагирования на инциденты).

Все исследователи компьютерных инцидентов должны быть знакомы с соответствующими технологиями, а также иметь необходимую квалификацию для оценки преимуществ и недостатков различных стратегий реагирования. Таких специалистов немного, но необходимым уровнем квалификации должен обладать хотя бы руководитель команды реагирования.

Руководитель команды реагирования должен оценить необходимые людские и технические ресурсы еще до начала формирования команды.

Например, если жертвой атаки стал маршрутизатор Cisco, в команду следует пригласить специалиста по этому устройству.

Состав команды реагирования зависит от многих факторов, включая следующие:

Количество хостов, участвовавших в инциденте;

Количество операционных систем, участвовавших в инциденте;

Сложность инцидента;

Предполагаемый ущерб (чем больше ущерб, тем больше потребуется ресурсов).

Единственным способом оценки необходимых людских и технических ресурсов

остается практика.

Выявление инцидентов. Выявление является первым этапом реакции на инциденты. Перед выявлением исследователь должен быть уведомлен о возможности инцидента. Для этого служат определенные каналы, позволяющие получить информацию еще до начала исследования инцидента.

Не следует считать, что нельзя предугадать, когда произойдет следующий инцидент. Можно обратиться к публикациям о вторжениях в операционные системы и приложения. Раньше команда быстрого реагирования на компьютерные инциденты (CERT, Compuiei Emergenсу Response Team) отмечала сотни событий, причем чаще всего в летние месяцы.

Предполагаемый инцидент может быть обнаружен различными техническими и организационными средствами. К техническим средствам относятся системы обнаружения вторжений IDS и брандмауэры (firewall), которые формируют сообщения об аварийных событиях в сети. В процессе своей обычной работы администраторы и пользователи могут заметить необычные операции по использованию учетных записей или ресурсов. Посетители вполне могут уведомить о неправильном функционировании службы или исковерканном Web сайте.

Вне зависимости от метода выявления инцидента, необходимо записать все полученные сведения. Предполагается пользоваться списком уведомлений (notification checklist), который позволяет не упустить важные подробности и факты. Список уведомлений должен содержать все необходимые подробности, хотя не все данные могут использоваться для уведомления. Однако необходимо зафиксировать очевидные факты, к которым относятся:

Текущие дата и время;

Кто или что уведомил об инциденте;

Природа инцидента;

Как произошел инцидент;

Участвовавшее в инциденте оборудование и программное обеспечение;

Контактная информация лиц, обнаруживших инцидент.

Заполнив список уведомлений, следует привлечь команду реагирования на

инцидент и обратиться в соответствующее подразделение компании.

Список литературы

1. Мандиа Кении, Просис Крис. Защита от вторжений: расследование компьютерных преступлений. М.: Издательство «ЛОРИ», 2005. 476 с.

2. Домарев В.В. Безопасность информационных технологий. Методология создания систем защиты. К.: ООО «ТИД ДС», 2001. 688 с.

3. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. Спб.: БХВ-Петербург, 2005. 752 с.

4. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. Горячая Линия - Телеком, 2002. 336 с.

5. Скиба В.Ю., Курбатов В.А. Руководство по защите от внутренних угроз информационной безопасности. Питер, 2008. 320 с.

ТРЕХМЕРНОЕ МОДЕЛИРОВАНИЕ С ПРИМЕНЕНИЕМ

СРЕДСТВ АВТОМАТИЗИРОВАННОГО ПРОЕКТИРОВАНИЯ

1 2 Ломовская Е.В. , Алешкова Е.Н.

1Ломовская Елена Владиславовна - заведующая учебной частью;

2Алешкова Елена Николаевна - заведующая отделением очного обучения, Государственное бюджетное профессиональное образовательное учреждение

Ростовской области Волгодонский техникум металлообработки и машиностроения, г. Волгодонск

Аннотация: в статье рассматривается создание комплекса подсистем трехмерного геометрического моделирования, основанного на экспертных знаниях и включающего не только системы вывода и визуализации информации, но и алгоритмические и интеллектуальные методы поддержки принятия решений, который позволит пользователю принимать высокоэффективные решения при проектировании на основании методов компьютерной обработки данных о трехмерных геометрических моделях.

Проектное решение выводится путем предоставления информации о сформированной трехмерной модели, в соответствии с правилами размещения и компоновки технологического оборудования с учетом общеэкономических, природосберегающих, спецтехнологических и других проектных ограничений, что позволит повысить результативность существующих систем, учитывая страну-производитель, требуемых образцов продукции, а также габариты имеющегося или проектируемого помещения или здания.

Ключевые слова: трехмерное моделирование, компьютерная графика, автоматизированное проектирование.

В современном мире с каждым годом происходит все больший рост конкурентной борьбы и ограничений отрицательного влияния на природу, что, в совокупности, ведет к повышению требований к качеству продукции, но сохранении ее низкой стоимости. А, как известно, технологическое оборудование в современных производственных системах имеет обширные конфигурации, которые зависят от видов выпускаемой продукции и перечня продуктов, выпускаемого на каждой из линий производства. В связи с этим возникает необходимость в разработке таких

Обучение руководителей и специалистов правовым, организационным и практическим вопросам расследования компьютерных инцидентов.

Прослушайте бесплатный вебинар про этот курс. Вебинар доступен в записи в любое удобное время.
Для просмотра перейдите по ссылке и запустите кнопку Play в левом нижнем углу.
http://m.mirapolis.ru/m/miravr/0074524156

Описание образовательной программы

В курсе подробно разбираются все аспекты деятельности уполномоченных органов (подразделений, лиц) организации при реагировании на инциденты в информационной системе.

Слушатели изучают и анализируют факторы и предпосылки, приводящие к компьютерным инцидентам, и представляющие наибольшую опасность для информационных систем организации. На конкретных примерах разбираются основные способы обеспечения непрерывности функционирования информационной системы в случае возникновения КИ и скорейшего устранения их последствий, рассматриваются основные аспекты технической политики организации, направленные на минимизацию, нанесенного КИ ущерба.

Подробно изучается весь комплекс юридических, технических и организационных мероприятий, проводимых немедленно после выявления КИ. В ходе практической работы слушателям предлагается самостоятельно разработать ряд организационно-распорядительных документов и выстроить оптимальную последовательность действий в ходе решения ситуационных задач, провести полный цикл расследования с составлением необходимых документов.

Рассматриваются современные технологии и средства, применяемые для расследования КИ. В ходе практических занятий слушатели знакомятся с рядом инструментальных средств (продуктов).

Особое внимание уделяется юридическим основам расследования КИ, обсуждению проблемы доказательной значимости материалов, полученных в ходе расследования КИ, вопросам взаимодействия с правоохранительными органами, специализированными организациями и судами. Слушатели знакомятся с различиями в юридической практике РФ и других государств, а также связанной с ними сложностью применения западных методик расследования КИ в России.
Практические занятия проводятся с использованием технологии виртуальных машин на специально сконфигурированных стендах.

После изучения курса слушатель будет

Знать:

• основные положения правовой, нормативной и методической базы, регламентирующей деятельность по расследованию компьютерных инцидентов;
• юридические основы успешного расследования КИ и привлечения виновных к ответственности в соответствии с действующим законодательством;
• порядок, содержание и правила разработки необходимой организационно-распорядительной документации;
• основные методы и средства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме;
• основные правила выбора и последующей эксплуатации необходимых средств, применяемых в ходе расследования компьютерных инцидентов;
• методы расследования КИ в РФ и за рубежом, государственных и частных организациях, осуществляющих такие расследования, и конструктивном взаимодействии с ними

Уметь:

• разрабатывать внутренние организационно-распорядительные документы, необходимые для проведения мероприятий по расследованию компьютерных инцидентов;
• использовать методы и средства (программные) в интересах идентификации, сбора, получения и хранения свидетельств, представленных в цифровой форме с приданием им юридической значимости

Владеть:

• навыками разработки необходимых документов в интересах организации и проведения расследований компьютерных инцидентов;
• навыками применения инструментальных средств, используемых для идентификации, сбора, получения и хранения свидетельств, представленных в цифровом виде.

Успешное обучение по программе позволит специалистам:

• комплексно подходить к проблеме защиты информации и увязывать вопросы защиты компьютерной информации с другими аспектами деятельности различных обеспечивающих и бизнес-подразделений организации;
• самостоятельно разрабатывать требуемую организационно-распорядительную документацию;
• планировать действия по поддержанию и восстановлению работоспособности информационных (автоматизированных) систем организации при возникновении КИ
• в случае возникновения КИ эффективно взаимодействовать с правоохранительными органами и специализированными организациями в процессе расследования КИ и выявления виновных.

Цель курса

Формирование знаний и навыков, необходимых для организации и проведения внутренних (внутрикорпоративных) расследований компьютерных инцидентов.

Целевая аудитория

• руководители организаций и предприятий (независимо от организационно-правовой формы и формы собственности)
• руководители подразделений и уполномоченные сотрудники организаций (предприятий), в обязанности которых входит выявление и перекрытие каналов утечки информации, расследование попыток несанкционированного доступа к информации ограниченного доступа, разработка необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
• сотрудники, отвечающие за администрирование информационных систем и сетей (системные администраторы);
• администраторы информационной безопасности;
• специалисты по защите информации;
• аналитики по вопросам компьютерной безопасности.

Необходимая подготовка

• базовые знания о современных информационных технологиях и распределенных информационных (автоматизированных) системах;
• навыки работы на персональном компьютере в ОС MS Windows 7 (Windows Server 2008) и выше;
• навыки работы в пакете MS Office 2010 и выше.

1. Правовая и нормативно-методическая база расследования компьютерных инцидентов

• Актуальность проблемы обеспечения информационной безопасности. Понятие компьютерного инцидента. Термины и определения.
• Управление инцидентами информационной безопасности
• Правовые и нормативно-методические основы расследования компьютерных инцидентов.
• Компьютерная криминалистика и международная практика.
• Ответственность за нарушения требований действующего законодательства

2. Источники компьютерных инцидентов

• Внутренние факторы и предпосылки
• Внешние факторы и предпосылки

3. Технологии и средства, используемые для расследования компьютерных инцидентов

• Компьютер, как хранилище свидетельств компьютерного инцидента
• Практическая работа: Выявляем компьютерный инцидент.
• Инструментальные средства идентификации, сбора, получения и хранения свидетельств, представленных в цифровой форме
• Практическая работа: Изучение инструментальных средств, применяемых при расследовании компьютерных инцидентов
• Технологии и средства обнаружения вторжений, предотвращения утечек информации, «ловушек» и выявления уязвимостей компьютерных систем и сетей
• Практическая работа: Выявление уязвимостей компьютерных систем и сетей

4. Основные мероприятия по организации и проведению расследований компьютерных инцидентов

• Организация управления инцидентами информационной безопасности
• Разработка внутрикорпоративных организационно-распорядительных документов, необходимых для проведения расследования компьютерных инцидентов
• Практическая работа: Разработка Частной политики управления инцидентами информационной безопасности и Регламента расследования компьютерного инцидента.
• Проведение расследований компьютерных инцидентов
• Практическая работа: Проведение расследования компьютерного инцидента.
• Взаимодействие с правоохранительными органами, специализированными организациями и представительство интересов организации в суде.