Расследование инцидентов

Расследование инцидентов информационной безопасности в Казахстане

Результаты расследования инцидента информационной безопасности позволяют установить обстоятельства, причины и условия совершения инцидента информационной безопасности. В рамках расследования определяется степень воздействия конкретных компьютерных информационных систем, а также действий или бездействий персонала, причастных к инциденту. Это даёт возможность восстановить максимально точную хронологию событий и воссоздать последовательность и системный проект действий злоумышленников.

Цели расследования

  • Подтверждение или опровержение факта инцидента
  • Локализация и ликвидация последствий инцидента
  • Установление виновных лиц, их мотивации, обеспечение возможности привлечения к ответственности
  • Анализ инцидента и принятие мер по предотвращению подобных инцидентов в будущем
  • Минимизация последствий и снижение рисков, возникших в результате инцидента
  • Внедрение и совершенствование процессов эффективного реагирования на инциденты.

Методика расследования

При проведении проведения расследования специалисты компании проводят как минимум следующие виды работ:

  • Компьютерно-технический анализ исходных материалов и электронных свидетельств: образы жёстких дисков, лог-файлы, журналы действий и событий, дампы оперативной памяти и сетевого трафика на момент фиксации инцидента, письменные объяснения персонала по предпринятым действиям, имевших отношение к инциденту
  • Идентификация всех скомпрометированных объектов и вероятных субъектов, имевших отношение к инциденту
  • Cбор данных о взаимосвязях идентифицированных объектов расследования с другими элементами ИТ-инфраструктуры
  • Реверс-инжиниринг выявленного вредоносного ПО и определение способов и механизмов проникновения. Воссоздание общесистемного проекта вредоносного ПО, алгоритмов работы на уровне распространения в сети и влияния на ОС
  • Фиксирование этапов атаки, определение источников атаки, последовательности действий вероятных злоумышленников, степени вовлечённости информационных систем, информационного окружения и персонала Заказчика.