В рамках SOC Tech — 2024 прошёл круглый стол «Сохранение цифровых следов для расследования преступлений». Модератором сессии выступил Максим Толкачёв, заместитель начальника Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России, а участие в ней приняли представители профильных подразделений по расследованию компьютерных инцидентов Александр Кутасевич («Лаборатория Касперского»), Антон Степанов (BI.ZONE) и Григорий Лоскутов (УБК МВД РФ).

Последний отметил рост числа инцидентов, связанных с использованием программ-шифровальщиков. Жертвами хакеров становятся не только мелкие и средние компании, но и крупные организации (в том числе ИТ-гиганты, у которых ИБ должна быть на высоком уровне). Однако не все готовы рассказать об атаках, опасаясь в том числе репутационных рисков и финансовых потерь.

Какие действия стоит предпринять после обнаружения инцидента? Традиционный подход компаний — начать восстановление инфраструктуры, провести анализ инцидента, чтобы не допустить его повторения, и только после обратиться в правоохранительные органы. Это в корне неверно, считают представители УБК МВД России: обращаться в полицию необходимо сразу же после обнаружения, после чего стоит начать работы по сохранению технической информации об инциденте. И только потом приступать к восстановлению системы, сохранив образы и логи.

У Управления есть примеры успешной оперативной работы с участием пострадавших и экспертов ИБ-компаний, привлечённых к расследованию, которые позволили изучить цифровые следы и поймать злоумышленников. Эта информация, как стало известно из дискуссии, широко не распространяется в СМИ, поскольку идёт дальнейшая кропотливая работа по расследованию преступлений и раскрытию инфраструктуры хакеров.

Эксперты отметили, что:

• при сохранении цифровых следов важно соблюсти ряд требований, в том числе с учётом юридической значимости улик и доказательств взлома (оригинальные носители информации, дампы оперативной памяти, образы дисков, копии виртуальных машин, исходные логи и специализированные логи СЗИ, а также требования хакеров). Правильная процедура фиксации доказательств и их сохранения позволит использовать их в дальнейшем в рамках уголовного дела;
• при отказе от обращения в правоохранительные органы высока вероятность, что украденные информация и доступы будут использованы при атаках на цепочку поставщиков, и компания попадёт в поле зрения подразделений УБК МВД России. При отказе же от дальнейшего сотрудничества могут быть приняты меры принудительного характера — в соответствии с законом;
• в имеющихся резервных копиях могут быть закладки, поскольку атаки носят длительный характер и, возможно, проникновение в инфраструктуру компании было проведено задолго до самого инцидента. Без установления точек входа высок шанс повторения инцидента спустя некоторое время, подчеркнули специалисты;
• бекапы и логи рекомендуется хранить вне работающей инфраструктуры;
• оптимальная глубина хранения логов — год. При хранении менее трёх месяцев расследование проблематично;
• силами сотрудников скомпрометированной компании провести самостоятельное расследование нельзя — у них не хватает компетенций. К кейсу необходимо привлекать профессионалов, которые знают, где и что искать;
• расследование одного инцидента может помочь в предотвращении или расследовании других;
• в отличие от компаний, специализирующихся на кибербезопасности, УБК МВД России, в первую очередь, заинтересовано в получении IP-адресов, с которых шла атака, информации о сессиях TCP, включая логирование портов, и DNS-записях внешних серверов.

Чаще всего за атаками стоят внешние хакеры. Реже в преступлениях участвуют действующие или бывшие сотрудники компаний, заметили участники круглого стола. А противостоять целевым атакам, по их словам, помогут повышение цифровой грамотности персонала и компании в целом, высокий уровень защиты инфраструктуры и круглосуточный мониторинг сети с помощью внешнего или внутреннего SOC. Обязательны двухфакторная аутентификация, защита удалённого доступа, разграничение полномочий, сегментация сети и высокий уровень квалификации специалиста по ИБ.

Для того, чтобы проинформировать региональное подразделение УБК МВД России о компьютерном инциденте, необходимо подать заявление в ближайшее отделение полиции или позвонить по номеру 102, заключили представители министерства.