Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили какие-то действия, и теперь нужно получить ответы на ряд практических вопросов, в том числе закрыть уязвимости, оценить ущерб, изобличить злоумышленников, если такое представляется возможным.

Лада Антипова, специалист по реагированию на киберинциденты Angara Security, рассказала о старте карьеры в DFIR, о рабочей рутине, полезных ресурсах для погружения в тему. Это стартовая публикация о работе нашей команды киберкриминалистов. Дальше - больше!

«Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR) – специализированная область, охватывающая выявление, устранение и расследование инцидентов кибербезопасности (Incident Response, IR), в том числе с применением криминалистических практик (Digital Forensics, DF). Нас, специалистов в DFIR, называют «респондерами», иногда «форензиками», но в данном случае эти понятия могут быть равнозначными, главное - понимать суть.

Наша работа позволяет заказчику дать ответ на главный вопрос: «Как это произошло и что важно сделать в моменте?», в том числе чтобы ИБ-специалисты компании могли исключить новые киберугрозы по подобной схеме.

Иногда приходится искать ответы на другие вопросы, например: «Произошло ли что-то, и что именно?» – выясняя, куда именно получили доступ киберпреступники, чтобы более точно оценить непосредственный ущерб от киберпреступления и связанные с ним репутационные риски. Наконец, третье направление деятельности киберкриминалиста – способствовать поимке и изобличению киберпреступников.

Сейчас специалисты по киберкриминалистике помогают решать еще одну важную практическую задачу – выявляют следы компрометации ИТ-инфраструктуры (Compromise Assessment). Если обнаруживаем следы от выполненных ранее проникновений, то они приводят нас к незакрытым уязвимостям или слабым местам, а часто после обнаружения такого ранее незамеченного киберинцидента необходимо уже полноценное расследование.

Зачастую приходится не только исследовать следы, но и реагировать на инцидент, который происходит здесь и сейчас. Реагировать на обнаруженное нужно аккуратно и последовательно, недостаточно просто заблокировать ряд подозрительных адресов или «накатить» обновление на приложение. Необходимо полностью восстановить весь цикл реализуемой атаки, своевременно выполняя действия по сдерживанию злоумышленника и ликвидации угрозы.

Подчеркну важность своевременности: нельзя начинать действовать слишком рано, не имея достаточно знаний о тактиках, техниках и процедурах атакующих. Но не стоит и затягивать, так как процесс реагирования может стать в разы сложнее, а злоумышленник тем временем будет продолжать похищать ваши данные или наносить другой ущерб. Тем не менее, с теми же программами-вымогателями есть другие нюансы, которые как раз и должен понимать и учитывать специалист по реагированию.

Базовое образование и начальный опыт

Специалист по «форензике», как и специалист по информационной безопасности любого другого профиля, должен обладать достаточно широкими познаниями в ИТ. Ведь нужно не только знать, как работает та или иная система (а еще и желательно на административном уровне), но и понимать, как защитить ее. У каждого «безопасника» – своя специфика работы, и криминалисты здесь не исключение. Стать киберкриминалистом не всегда просто, поэтому я хочу чуть подробнее остановиться на своем пути в профессию. Он оказался не самым быстрым, но, как я считаю, это один из лучших на сегодняшний день алгоритмов, позволяющих прийти в это направление.

Начнем с того, что мое базовое образование – профильное. Обучалась по специальности «Информационная безопасность» (10.03.01) в Алтайском техническом университете. После выпуска год работала по специальности на инженерной должности ИБ. Переехав в Москву, попала в in-house SOC (Security Operations Center), так называемый собственный центр кибербезопасности при организации. Работа в SOC, требующая широких компетенций и умения быстро реагировать и вникать в происходящее, была прекрасной школой, позволившей мне расширить знания и навыки в прикладном «кибербезе». Проработав там почти три года, случай привел меня в киберкриминалистику.

Первые шаги в «форензике»

Меня взяли начинающим специалистом – на тот момент в «форензике» я не знала ни-че-го.

Поэтому, переход прошел на младшую должность, и, конечно же, привел к уменьшению (пусть и временному) зарплаты, но риск оказался более, чем оправдан.

Спектр задач и, соответственно, методы их решения были совершенно иными, с чем мне предстояло разбираться. И все это было просто крайне интересно: ведь ты имеешь дело уже с «реальными» инцидентами. Конечно, моя базовая квалификация была по-прежнему актуальна, но со многим мне только предстояло знакомиться.

Полноценное погружение в новую профессию заняло около года. Выраженной методики подготовки не было, шло «обучение через действие»: я училась, выполняя отдельные практические задания в процессе решения реальных проблем и ситуаций. Сначала мне поручали отдельные относительно примитивные и в чем-то рутинные для более старших коллег задачи, потом же эти задачи стали более сложными и ответственными, а контроль требовался все реже.

Разумеется, кроме практики, разбирала новую для себя теорию. В первую очередь, конечно же, в этом мне помогали коллеги, но приходилось собирать информацию и самостоятельно: на курсах, имеющихся в свободном доступе, из книг по специальности, просматривая тематические видео на Youtube, посещая конференции по инфобезопасности (PHD, OFFZONE) и т.д. Разумеется, важно живое общение киберкриминалистов, обсуждение практических вопросов и разнообразных кейсов. Нагрузка по изучению теории была большая, но, во-первых, новые знания ложились на базовые, что упрощало ситуацию, во-вторых, в университете меня научили учиться – как бы тривиально это не звучало, но все же очень важный навык! – в-третьих, концепция «непрерывного образования» сегодня актуальна во всех топовых направлениях деятельности.

Третий год занимаюсь киберкриминалистикой. Каждый рабочий день непредсказуем, скучно не бывает никогда. День может пройти в изучении деталей работы новой техники или программы, а может начаться с необходимости отправиться на территорию клиента с раннего утра, а то и в канун Нового года, где придется жить неделю, разбирая инцидент.

Как выглядит работа киберкриминалиста

Характерное время расследование инцидента составляет примерно две-три недели, из которых большую часть занимает непосредственно реагирование со всеми его этапами и анализ данных, а оставшееся время – написание отчетов. Последнее тоже важно: мы должны предоставить исчерпывающие данные для руководства компании-заказчика, ее службы безопасности и внешних структур, предоставляющих сервисы «кибербеза», а в ряде случае и для правоохранительных органов. Разумеется, есть и сложные случаи, которые требуют на свое расследование заметно больше времени, но они достаточно редки.

Задача исследования инфраструктуры компании на наличие следов проникновения злоумышленников в сеть требует куда больше времени, объем работ тут значителен.

Интересно, что такие следы мы находим почти всегда: «отпечатки» работы вредоносных программ, бэкдоры, кем-то когда-то оставленные, подозрительный трафик, характерный для работы отдельных пост-эксплуатационных фреймворков

Все это в последующем все это требует дополнительного исследования. Поэтому такая задача может занять и пару месяцев, в зависимости от масштабов ИТ-инфраструктуры компании.

Киберкриминалист учится всегда

Для эффективной работы киберкриминалисту нужно практиковать непрерывное обучение. Это касается знаний в области ИТ и кибербезопасности при этом нужны – их тоже приходится актуализировать и развивать! – но кроме общих познаний нужно работать с предметными в своей области: достижениями, проблемами, кейсами in-the-wild и т.д. Это знакомит с техниками, создает «насмотренность на зло», ты, например, постепенно запоминаешь «почерк» разных группировок (вопрос атрибуции бывает крайне важен – это помогает быстрее распутать цепочку следов).

Например, сама я регулярно просматриваю профильные сайты: This Week In 4N6, The DFIR Report и Sentinel Labs, блоги на Crowdstrike, Mandiant, Red Canary и Trusted Sec, новости на Trend Micro и т.д. Много информации на YouTube, например, на каналах SANS Digital Forensics and Incident Response, DFIRScience, 13Cubed, персональном канале Джона Хаммонда (не только форензика, но моя личная и настоятельная рекомендация. Джон крут!) и пр. Читать приходится Твиттер, по тегам #DFIR #DailyDFIR - много полезной и оперативной информации. Также нужно обязательно знакомиться и разбираться с исследованиями как нашей компании, так и других профильных структур – BI.Zone, Positive Technologies, «Лаборатории Касперского», F.A.C.C.T. и других DFIR- и TI-команд (Threat Intelligence).

Вместо заключения

Путь, проделанный мной, достаточно длительный и сложный, но он, судя по всему, оптимальный.  Киберкриминалистика требует широких знаний по ИТ – от операционных систем до прикладных программ, от телекоммуникационных решений до мобильных устройств, от баз данных до аппаратных решений. Современный мир ИТ сложен и многообразен, быстрых путей для вхождения в него нет, ни в форензике, ни в какой-либо другой нише. Наличие базового образования (и да, я не из тех людей, кто не видит смысла в своем высшем образовании) и опыта работы в SOC дало мне значительный опыт, без которого мне было бы сложно работать в сфере DFIR с нужной эффективностью. Сейчас есть очень хорошие курсы по киберкриминалистике (например, курсы F.A.C.C.T., которые я тоже проходила), способные дополнить «обучение через действие», однако, они не могут полностью заменить его. А после – не мне вам рассказывать, что после вхождения в любую профессию нужно много учиться, активно практиковаться и постоянно поддерживать уровень своей квалификации. И да, лучше всего, когда это не через «надо», а на драйве.