Расследование инцидентов информационной безопасности в Узбекистане
Результаты расследования инцидента информационной безопасности позволяют установить обстоятельства, причины и условия совершения инцидента информационной безопасности. В рамках расследования определяется степень воздействия конкретных компьютерных информационных систем, а также действий или бездействий персонала, причастных к инциденту. Это даёт возможность восстановить максимально точную хронологию событий и воссоздать последовательность и системный проект действий злоумышленников.
Цели расследования
- Подтверждение или опровержение факта инцидента
- Локализация и ликвидация последствий инцидента
- Установление виновных лиц, их мотивации, обеспечение возможности привлечения к ответственности
- Анализ инцидента и принятие мер по предотвращению подобных инцидентов в будущем
- Минимизация последствий и снижение рисков, возникших в результате инцидента
- Внедрение и совершенствование процессов эффективного реагирования на инциденты.
Методика расследования
При проведении проведения расследования специалисты компании проводят как минимум следующие виды работ:
- Компьютерно-технический анализ исходных материалов и электронных свидетельств: образы жёстких дисков, лог-файлы, журналы действий и событий, дампы оперативной памяти и сетевого трафика на момент фиксации инцидента, письменные объяснения персонала по предпринятым действиям, имевших отношение к инциденту
- Идентификация всех скомпрометированных объектов и вероятных субъектов, имевших отношение к инциденту
- Cбор данных о взаимосвязях идентифицированных объектов расследования с другими элементами ИТ-инфраструктуры
- Реверс-инжиниринг выявленного вредоносного ПО и определение способов и механизмов проникновения. Воссоздание общесистемного проекта вредоносного ПО, алгоритмов работы на уровне распространения в сети и влияния на ОС
- Фиксирование этапов атаки, определение источников атаки, последовательности действий вероятных злоумышленников, степени вовлечённости информационных систем, информационного окружения и персонала Заказчика.