УДК 004.056

Гулак А.М.

Студент 3 курса БГТУ

г. Брянск, РФ

АНАЛИЗ НЕКОТОРЫХ СТАТИСТИЧЕСКИХ ОЦЕНОК РАССЛЕДОВАНИЯ КИБЕРИНЦИДЕНТОВ

Аннотация

Приведены статистические данные, связанные с расследованием киберинцидентов. Выявлены основные направления расследования инцидентов ИБ. Обозначены главные цели проведения расследований.

Ключевые слова

Кибербезопасность, киберинцидент, расследование, злоумышленник, информационная безопасность.

Необходимость расследования киберинцидентов возникает, когда, например, выявлена попытка хищения каких-либо конфиденциальных данных или кто-то пытался зашифровать сервер, но не понятно, как именно злоумышленники проникли в сеть. Расследование киберинцидентов направлено не только на определение вектора вредоносных действий и поиск преступника или инсайдера, но и может раскрыть кампанию APT-группировки (Advanced Persistent Threat, целевая атака).

Всем ли компаниям необходимо расследовать происшествия в сфере информационной безопасности? Можно ли качественно разобрать инцидент не привлекая сторонних специалистов? Всегда ли важно найти организатора атаки?

На эти вопросы мы попытаемся ответить в данной статье.

Одним из этапов жизненного цикла реагирования на инциденты является анализ и реконструкция атаки. Тем не менее в правовом понимании расследование – это действия правоохранительных органов.

Долгое время индустрия информационной безопасности предлагала защиту от угроз, однако со временем стало понятно, что полностью предотвратить инциденты невозможно. Главный вопрос в этой ситуации – что делать, если инцидент произошёл. Возможен широкий спектр действий – от выявления несоблюдения инструкций сотрудниками до определения масштабной хакерской кампании и передачи материалов правоохранительным органам.

Опрос, проведенный компанией Anti-Malware показал, что анализируют и разбирают ИБ-происшествия собственными силами или при помощи привлечённых специалистов 78% опрошенных. Не ведут такой деятельности только 22%.

Если фирма обладает достаточно зрелыми службами ИБ и ИТ, можно провести самостоятельно без привлечения сторонних специалистов лишь часть мероприятий в рамках расследования киберинцидента. Дело в том, что в процессе анализа инцидента специалисты фирмы, скорее всего, столкнутся с необходимостью привлечения «узкого» специалиста, держать которого в штате невыгодно.

У 41% компаний, участвовавших в опросе, есть выделенная команда специалистов, занимающаяся расследованиями киберинцидентов. Ещё 29% опрошенных собирают такую группу из сотрудников разных отделов при необходимости. Не имеют собственных ресурсов для расследования инцидентов 30% участников опроса.

Пострадавшему важно знать, кто стоит за инцидентом, чтобы понимать, какие последствия он может принести.

Наибольшее число ИБ-происшествий приходится на долю организованной киберпреступности, которую интересуют в первую очередь коммерческие компании. Если же говорить о государственных организациях, то их чаще всего атакуют APT-группировки. При этом зачастую о квалификации злоумышленника можно судить только по косвенным признакам, таким как сложность используемых инструментов, применяемые методы и др.

Участники опроса ставят разные цели при расследовании киберинцидента. Значительная часть респондентов (около 40%) считают, что главная цель расследования – выявить, как произошёл инцидент. Сбор доказательной базы по происшествию назвали основной целью 5% опрошенных, а оценку ущерба – 4%, установление виновного собственными ставят целью расследования 2% участников опроса. Наибольшее число голосов (около 46%) – набрала «комплексная» цель, включающий все вышеперечисленные факторы.

Таким образом, можно сделать вывод, что понимание схемы произошедшей атаки, методов проникновения и техник, использованных злоумышленниками, может помочь организации предотвратить аналогичные инциденты в будущем. Однако расследование в сфере кибербезопасности не ограничивается атрибуцией атаки: специализированные компании способны не только оказать содействие в работе с правоохранительными органами и помочь найти преступника, но и выявить его мотивы.

Список использованной литературы

Зачем организациям в России расследовать киберинциденты. –Режим доступа: https://www.anti-malware.ru/analytics/Technology_Analysis/Forensics-benefits-for-Russian-organizations.
История одного расследования: целевая атака по ошибке и несостоявшиеся деструктивные действия. –Режим доступа: https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/incident-response-polar-ransomware-apt27/.
Вижу цель: самый большой ущерб от киберинцидентов в 2021 году для российского бизнеса был связан с таргетированными атаками. –Режим доступа: https://www.kaspersky.ru/about/press-releases/2021_vizhu-cel-samyj-bolshoj-usherb-ot-kiberincidentov-v-2021-godu-dlya-rossijskogo-biznesa-byl-svyazan-s-targetirovannymi-atakami.