Понедельник, 20.08.2018, 17:14
Мой сайт ГлавнаяРегистрацияВход
Приветствую Вас Гость | RSS
Меню сайта
Мини-чат
Наш опрос
Оцените мой сайт
Всего ответов: 0
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
  
Главная » 2013 » Февраль » 22 » Фундаментальное руководство по расследованию ко
10:50
 

Фундаментальное руководство по расследованию ко

Фундаментальное руководство по расследованию компьютерных происшествий для Windows

Глава 1: оценка ситуации

Опубликовано 11 января 2007


В этой главе описывается порядок проведения доскональной оценки ситуации, определения рамок и необходимых ресурсов для внутреннего исследования. В этих целях используется состоящая из пяти последовательных действий процедура, показанная на рисунке ниже.

Этап оценки ситуации в ходе расследования компьютерного происшествия

Рисунок 1.1. Этап оценки ситуации модели проведения расследований компьютерных происшествий

На этой странице

Уведомление отвечающих за принятие решений лиц и получение разрешения

Для проведения расследования компьютерного происшествия сначала необходимо получить соответствующее разрешение, если существующие правила и процедуры не предоставляют права реагирования в случае происшествий. Далее необходимо провести тщательную оценку ситуации и определить направление дальнейших действий. Ниже приводятся соответствующие рекомендации:

  • если отсутствуют письменные правила и процедуры реагирования в случае происшествий, необходимо уведомить ответственных за принятие решений лиц и получить от принимающего решения полномочного лица письменное разрешение на проведение расследования;

  • необходимо документально оформлять все осуществляемые в связи с проведением расследования действия. Нужно убедиться в наличии полной и точной документальной сводки всех событий и решений, которые произошли и были приняты во время происшествия и реагирования на него. В итоге этот документ может быть использован в суде, чтобы показать направление действий, которого придерживались во время проведения внутреннего расследования;

  • в зависимости от масштабов происшествия и при отсутствии угрозы национальной безопасности, жизни или здоровью людей, приоритетной задачей является предотвращение дальнейшего причинения ущерба организации. После того как организация защищена, можно перейти к следующим по приоритетности задачам: восстановлению работы служб (если необходимо) и расследованию происшествия.

Принятые решения могут быть подвергнуты сомнению наравне с доказательствами. Из-за сложности компьютерных доказательств различные расследования (например расследования, проводимые другой стороной, связанной с происшествием) могут приводить к принятию различных решений и получению различных заключений.

Изучение правил и законов

Начиная расследование компьютерного происшествия, необходимо иметь представление о законах, а также о внутренних правилах организации (при наличии таковых), под действие которых подпадает проводимое расследование. Обратите внимание на приведенные ниже соображения и рекомендации:

  • необходимо определить, достаточно ли имеющихся юридических полномочий для проведения расследования. Приняты ли в организации правила и процедуры в отношении прав на неприкосновенность частной жизни сотрудников, подрядчиков или иных лиц, использующих сеть организации? Определены ли в каких-либо из этих правил и процедур условия, при которых разрешено осуществление наблюдения? В правилах и процедурах многих организаций упоминается отсутствие прав на конфиденциальность при использовании корпоративного оборудования, электронной почты, веб-служб, телефонов, почты и других служб, а право наблюдения за этими ресурсами и осуществления поиска по ним организация оставляет за собой. Такие правила и процедуры должны быть проверены юрисконсультами организации. Все сотрудники, подрядчики и посетители должны быть уведомлены об их существовании. В случае сомнения в наличии полномочий необходимо связаться с руководством, юрисконсультами или (в случае необходимости) с местными властями;

  • во избежание возникновения спорных вопросов из-за неправильного ведения расследования необходимо проконсультироваться с юристами. К таким спорным вопросам относятся:

    • создание угрозы для личных данных клиентов;

    • нарушение любых местных или федеральных законов, таких как федеральные правила о неприкосновенности частной жизни;

    • гражданская или уголовная ответственность, возникающая из-за незаконного перехвата электронной переписки. Рассмотрите возможность вывода предупреждающих объявлений;

    • просмотр конфиденциальной или привилегированной информации. Доступ к конфиденциальным данным, использование которых может привести к нарушению неприкосновенности информации клиентов, может быть предоставлен как к данным, являющимся частью связанной с расследованием документации, только если эта информация имеет непосредственное отношение к проводимому расследованию;

  • необходимо убедиться, что учитываются перечисленные ниже вопросы обеспечения конфиденциальности данных клиентов:

    • все данные должны передаваться по защищенным каналам, храниться на рабочих станциях (а не на сетевых серверах), и не должны быть легко доступны;

    • после закрытия расследования компьютерного происшествия все данные (включая документацию) должны храниться в течение срока, определенного юрисконсультами или местными правилами. Если данные являются частью возможного уголовного дела, необходимо проконсультироваться с представителями правоохранительных органов, расследующими это дело. Если рассматривается гражданское дело, необходимо проконсультироваться с юристами организации. Также необходимо пересмотреть все вопросы сохранности данных, связанные с требованиями Закона Сарбейнса-Оксли (Sarbanes-Oxley Act) 2002 г. и других законов;

  • на случай рассмотрения дела в суде необходимо сохранять цифровые и бумажные копии доказательств, а также цепочки обеспечения сохранности доказательств. Для сохранения цепочки обеспечения сохранности доказательств необходимо иметь поддающуюся проверке документацию, в которой указано, кто и когда работал с конкретным доказательством, а также место, дата и время сохранения этого доказательства. Необходимо иметь защищенное хранилище для доказательств, в противном случае невозможно будет проверить их подлинность.


Определение членов группы, проводящей расследование

Для успешного проведения внутреннего расследования компьютерных происшествий необходимо определить перечень лиц, которые должны реагировать на происшествие. В идеале определить членов группы нужно раньше, чем потребуется фактически провести расследование. Важно, чтобы группа была соответствующим образом организована и чтобы ее члены были достаточно квалифицированы. В организации создание такой группы может происходить в рамках процесса планирования аварийного восстановления. Ниже приводятся рекомендации по организации группы для проведения расследований:

  • определите человека, который имеет представление о том, как нужно проводить расследование. Необходимо помнить, что в случае, если происшествие приведет к рассмотрению дела в суде, квалификация и репутация этого человека будут подвергнуты тщательной проверке;

  • определите членов группы и четко определите обязанности каждого из них;

  • назначьте одному члену группы роль ведущего технического специалиста. Ведущий технический специалист должен обладать хорошими техническими навыками и опытом проведения расследований компьютерных происшествий. В случае, когда подозреваемые лица обладают хорошими техническими навыками, нужно выбирать членов группы расследования, обладающих более высокой квалификацией;

  • обеспечьте минимально возможный размер группы расследования. Это позволит обеспечить конфиденциальность и защищенность организации от нежелательных утечек информации;

  • в случае, если в организации отсутствует персонал с необходимыми навыками, привлеките для проведения расследования заслуживающую доверия стороннюю группу;

  • убедитесь, что каждый член группы прошел необходимую проверку и обладает необходимыми полномочиями для выполнения поставленных задач. Это особенно важно, если для проведения расследования привлекаются сторонние специалисты, например консультанты.

Cc162832.important(ru-ru,TechNet.10).gif Важно!

Ввиду изменчивого характера цифровых доказательств очень важно своевременно провести расследование. Необходимо убедиться, что все члены группы будут иметь возможность принимать участие в расследовании на протяжении всего времени его проведения.

Выполнение тщательной оценки ситуации

Для правильного определения порядка выполнения действий и обоснования требующихся для проведения расследования ресурсов необходимо выполнить тщательную и четко документально оформленную оценку сложившейся ситуации. В процессе оценки определяются текущее и возможное влияние происшествия на коммерческую деятельность организации, а также затронутая происшествием часть инфраструктуры. Также оценка обеспечивает наиболее полное, насколько это возможно, понимание сложившейся ситуации. Ниже приведена информация, помогающая определить правильное направление действий.

  • используйте всю возможную информацию для описания возникшей ситуации, степени ее серьезности, потенциально потерпевших сторон и (при наличии) подозреваемых сторон;

  • определите чувствительность организации к проведению расследования и последствия его проведения. Например, необходимо определить, затрагивает ли расследование данные клиентов, финансовые, медицинские документы или конфиденциальную информацию компании. Также не забудьте оценить потенциальное влияние на отношения с общественностью. Проведение этой оценки, скорее всего, выходит за рамки компетенции ИТ-специалистов, поэтому она должна проводиться совместно с руководством организации и юрисконсультами;

  • выполните анализ влияния происшествия на коммерческую деятельность организации в процессе расследования. Необходимо перечислить количество часов, необходимых для восстановления работы после происшествия, количество часов простоя, стоимость поврежденного оборудования, размер недополученной прибыли и стоимость коммерческой тайны. Такая оценка должна быть реалистичной, не завышенной. Реальные последствия происшествия будут определены позднее;

  • проанализируйте нематериальные ресурсы, пострадавшие в результате происшествия, например оцените его будущее влияние на репутацию организации, отношения с клиентами и моральный дух сотрудников. Не преувеличивайте серьезность происшествия. Анализ носит информационный характер и помогает осознать пределы последствий происшествия. Реальные последствия происшествия будут определены позднее. Проведение этой оценки, скорее всего, выходит за рамки компетенции ИТ-специалистов, поэтому она должна проводиться совместно с руководством организации и юрисконсультами.

Ниже приводятся рекомендации по определению, анализу и документированию инфраструктуры и компьютеров, которые затронуты данной ситуацией. Большая часть этих рекомендаций уже могла быть учтена при оценке рисков и подготовке плана аварийного восстановления:

  • определите компьютерные сети и компьютеры, которые затронуты происшествием, а также типы этих компьютеров;

  • получите документацию о топологии сети, включающую подробную схему сети. На этой схеме должна быть представлена информация о серверах, сетевом оборудовании, брандмауэрах, подключениях к Интернету и о других компьютерах в сети;

  • определите все внешние устройства хранения данных и удаленные компьютеры, которые также должны быть включены в расследование. К внешним устройствам хранения данных относятся USB-устройства флэш-памяти и флэш-карты, оптические и магнитные диски;

  • если необходим оперативный анализ, произведите перехват сетевого трафика за некоторый период времени. Такой тип анализа необходим только в случае, если есть уверенность в наличии в течение продолжительного времени подозрительной сетевой активности. Он обычно применяется только после того, как анализ данных аудита и журналов исчерпал себя. В операционные системы Microsoft® Windows® XP и Windows Server® 2003 включены встроенные средства перехвата сетевого трафика, такие как программы Netcap и Rasdiag. Они позволяют перехватывать локальный сетевой трафик, благодаря чему не требуется установка таких продуктов, как Netmon или Ethereal. Для анализа сетевого трафика используются такие программы, как сетевой монитор Windows (NetMon) и TDIMon компании Windows Sysinternals. Средства компании Windows Sysinternals можно загрузить со страницы Windows Sysinternals веб-узла Microsoft TechNet.

    Cc162832.important(ru-ru,TechNet.10).gif Важно!

    Прослушивание сети (перехват сетевого трафика) в зависимости от рамок перехвата может являться нарушением конфиденциальности. Поэтому к перехвату сетевого трафика следует подходить очень осторожно.

  • Используйте инструменты для проверки состояния приложений и операционных систем на компьютерах, затронутых происшествием. К полезным средствам относятся журналы приложений Windows, системные журналы и программа PsTools компании Windows Sysinternals.

  • Проверьте затронутые файловые серверы и серверы приложений. Воспользовавшись средствами компании Windows Sysinternals, такими как PsTools, PsFile, ShareEnum, а также внутренним журналом безопасности Windows, можно изучить и документально оформить активность на этих серверах.

Cc162832.important(ru-ru,TechNet.10).gif Важно!

Копирование части информации, собираемой в процессе проведения оценки (например список запущенных процессов и данные в памяти), осуществляется в режиме реального времени. Нужно позаботиться о том, чтобы все создаваемые записи или журналы надежно сохранялись для предотвращения потери изменчивых данных.

  • изобразите всю собранную информацию на временной шкале. Использование временной шкалы особенно важно для крупных происшествий. Отметьте любые расхождения между датой и временем узлов, например настольных компьютеров, и системными датой и временем, например службы времени Windows операционной системы Windows Server 2003.

  • выявите и опросите всех лиц, которые могут быть вовлечены в происшествие, таких как системные администраторы и пользователи. В некоторых случаях эти люди могут быть сторонними для организации лицами. Опрос пользователей и сотрудников, затронутых происшествием, часто дает хорошие результаты и понимание сложившейся ситуации. Такие опросы должны проводиться лицами, имеющими соответствующий опыт;

  • документально оформите все результаты опросов. Они потребуются позднее для полного понимания ситуации;

  • получите информацию (журналы) с сетевых устройств, которые подключены к внешней и внутренней сети, таких как брандмауэры и маршрутизаторы. Вторжение могло происходить именно через эти устройства;

  • некоторая информация, например владелец IP-адреса и доменного имени, по своей природе общедоступна. Например, с помощью средства Whois компании Windows Sysinternals или службы Американский реестр Интернет-адресов можно определить владельца IP-адреса.


Подготовка к сбору доказательств

Для подготовки к этапу сбора данных необходимо убедиться, что были правильно определены все действия и результаты этапа оценки ситуации. Подробный документ, содержащий всю относящуюся к происшествию информацию, является отправной точкой для начала следующего этапа и для подготовки к итоговому отчету. Помимо этого необходимо понимать, что если расследование происшествия выйдет за рамки внутреннего расследования и дело будет направлено в суд, есть вероятность, что все процедуры сбора улик будут повторно выполнены независимыми сторонними лицами с целью попытаться получить такие же результаты.

Такой документ должен содержать подробную информацию о ситуации и должен включать следующее:

  • первоначальную оценку влияния сложившейся ситуации на коммерческую деятельность организации;

  • подробную схему топологии сети, на которой выделены затронутые компьютерные системы и описано, как именно они были затронуты;

  • краткое описание опросов пользователей и системных администраторов;

  • результаты взаимодействия с официальными и третьими лицами;

  • отчеты и журналы, созданные средствами, использованными на этапе оценки ситуации;

  • предлагаемое направление действий.

Cc162832.important(ru-ru,TechNet.10).gif Важно!

Создание в процессе проведения расследования компьютерного происшествия согласованной, точной и подробной документации поможет в дальнейшем расследовании. Эта документация очень важна для успешного завершения проекта, и ее нельзя недооценивать. При создании документации необходимо всегда помнить, что в дальнейшем она может быть использована в качестве доказательств при рассмотрении дела в суде. Перед тем как перейти к реализации следующего этапа, необходимо, чтобы ответственное за принятие решений лицо поставило подпись на собранной на этапе оценки ситуации документации.


Загрузка

Уведомления об обновлениях

Обратная связь


Просмотров: 142 | Добавил: sewity | Рейтинг: 0.0/0
Всего комментариев: 0
Поиск
Календарь
«  Февраль 2013  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
25262728
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Copyright MyCorp © 2018Бесплатный конструктор сайтов - uCoz