O co chodzi z tą informatyką śledczą, reakcją na incydenty i atrybucją?
#1
[Obrazek: cyber-attribution-dice.jpg]
Po tym, jak kilka głośnych cyberataków  trafiło w tym roku na pierwsze strony gazet, komentarze w sieci uświadomiły mi, że większość ludzi nie do końca rozumie, jak wykorzystuje się usługi reakcji na incydenty, jak identyfikuje się winnych i jaką rolę odgrywają organy ścigania w śledztwach dotyczących cyberprzestępczości. Mam nadzieję, że niniejszy artykuł nieco rozjaśni sprawy i odpowie na kilka pytań, które najczęściej otrzymuję.
[Obrazek: untitled.jpg]
Śledztwa w sprawie cyberprzestępstw przypominają dochodzenia związane z oszustwami i przestępstwami finansowymi. Zresztą obecnie znaczna część przestępstw finansowych to właśnie cyberprzestępstwa. Zarówno jedne, jak i drugie mają tę wspólną cechę, że często trudno je wykryć.

W przypadku przestępstw finansowych zdarza się, że dopiero kwartalna kontrola ujawnia, że dzieje się coś podejrzanego. Niektóre cyberprzestępstwa są równie subtelne. Kiedy na przykład napastnik ukrywa się w sieci korporacyjnej i prowadzi długofalową eksfiltrację danych, włamanie bywa wykrywane dopiero podczas przeszukania sieci, w ramach okresowej procedury oceny zagrożeń albo dzięki nowo zainstalowanemu systemowi wykrywania włamań. Nie wszystkie cyberprzestępstwa są trudne do wykrycia. Niektóre wychodzą na jaw jako część ataku – napastnik kontaktuje się z organizacją i próbuje wyłudzić okup albo publicznie ujawnia dane, o czym zaatakowana firma szybko się dowiaduje.

Co interesujące, kilka głośnych włamań w ciągu ostatnich kilku lat odkryto, kiedy producent rozwiązań zabezpieczających zainstalował swoje produkty w sieci ofiary w ramach demonstracji albo okresu próbnego.

Bez względu na to, jak odkryto atak, firma, która podejrzewa, że padła ofiarą przestępstwa finansowego lub cyfrowego, musi zgromadzić dodatkowe dowody, zanim zwróci się do organów ścigania. Po rozpoczęciu dochodzenia zwykle angażuje się do pomocy różnych zewnętrznych audytorów. W przypadku potencjalnego oszustwa lub przestępstwa finansowego niektóre z tych usług mogą zapewnić firmy ubezpieczeniowe. W przypadku cyberprzestępstwa o pomoc prosi się firmy, które specjalizują się w informatyce śledczej oraz reakcji na incydenty.

Zaatakowana organizacja płaci za takie usługi z własnej kieszeni. Dlaczego? Ponieważ reakcja na incydent nie sprowadza się do zabezpieczenia materiału dowodowego. Obejmuje również oczyszczenie zainfekowanych systemów, przywrócenie sieci do normalnego stanu, odzyskanie utraconych danych, a także pomoc we wprowadzaniu procedur bezpieczeństwa i planów zarządzania ryzykiem, które pomogą uniknąć przyszłych incydentów. W ramach reakcji na incydent organy ścigania wzywa się po zgromadzeniu takiej ilości dowodów, która pozwala ustalić, kiedy i w jaki sposób popełniono przestępstwo.

Dane dowodowe zgromadzone przez prywatne firmy, które specjalizują się w reakcji na incydenty, stają się punktem wyjścia do śledztwa prowadzonego przez organy ścigania. Pamiętajmy, że policja dysponuje dodatkowymi źródłami informacji,  do których nie mają dostępu prywatni detektywi. Organy ścigania mogą na przykład zażądać udostępniania logów z dodatkowych prywatnych źródeł (takich jak dostawcy usług internetowych) i skorelować je z danymi z innych prowadzonych dochodzeń. Z naszych doświadczeń wynika, że policja często kontynuuje współpracę z niezależnymi konsultantami podczas dochodzeń karnych.

Możesz też ustalić winnego za pomocą tego przydatnego zestawu kości

Atrybucja, czyli identyfikowanie winnych, to bardziej sztuka, niż nauka.  Gdy dochodzi do cyberprzestępstwa, prywatni konsultanci są zdani na domysły. Zwykle polega to na korelowaniu taktyk, technik i procedur (TTP) odkrytych na miejscu przestępstwa z poprzednimi przypadkami lub pochodzącymi z otwartych źródeł informacjami o zagrożeniach. Analizuje się próbki, takie jak narzędzia lub złośliwe programy znalezione w zainfekowanych systemach, język i wzorce treści w wiadomościach phishingowych, lokalizację serwerów dowodzenia i witryn phishingowych, techniki użyte do utrwalenia infekcji albo ruchów „bocznych”, adresy IP związane z atakami i wszystkie inne metadane odkryte podczas dochodzenia. W atrybucji uwzględnia się też motywy podejrzewanych grup przestępczych. Prywatne firmy z branży cyberbezpieczeństwa nierzadko pomagają policji w identyfikowaniu napastników. Jednak ze względu na poufną naturę policyjnych działań dowodów zgromadzonych lub udostępnionych przez organy ścigania zwykle nie upublicznia się w raportach atrybucyjnych przygotowanych przez zewnętrznych konsultantów.

Na świecie jest znacznie mniej firm zajmujących się bezpieczeństwem cyfrowym, niż firm ubezpieczeniowych i finansowych, dlatego ich usługi cieszą się dużym popytem. Tak dużym, że organizacje przywiązujące szczególną wagę do bezpieczeństwa często przekazują im coroczne opłaty za pozostawanie w gotowości. W ten sposób zapewniają sobie natychmiastową pomoc oraz uzgodnione ceny za prace związane z reakcją na incydent. Przypomina to stałe kontrakty z firmami prawniczymi lub finansowymi (na wypadek sytuacji nadzwyczajnych) albo specjalne korporacyjne umowy z partnerami ubezpieczeniowymi. Organizacje, które nie mają stałej umowy z firmą specjalizującą się w bezpieczeństwie cyfrowym, zwykle mają trudności z uzyskaniem pomocy w razie incydentu oraz usług informatyki śledczej, kiedy są one najbardziej potrzebne, i często płacą dość słono, kiedy wreszcie znajdą kogoś, kto będzie mógł im pomóc.

Reakcja na incydenty to nie tylko działania podejmowane w przypadku włamań i cyberprzestępstw. Firmy mogą teraz zakupić polisy cyberubezpieczeniowe. Oto, jak odbywa się zbieranie materiału dowodowego w przypadku roszczenia z tytułu naruszenia bezpieczeństwa cyfrowego. Firmy ubezpieczeniowe zatrudniają likwidatorów szkód, których zadaniem jest badanie zgłaszanych roszczeń i określanie zakresu odpowiedzialności. Tradycyjni likwidatorzy szkód gromadzą dane na wiele sposobów, na przykład przesłuchując powoda oraz świadków, konsultując z policją, sprawdzając dokumentację medyczną i badając szkody majątkowe. W przypadku cyberprzestępstw likwidator zbiera dowody w podobny sposób, w jaki reaguje się na incydent. Od jego ustaleń zależy odszkodowanie przyznane powodowi.  Gdyby na przykład likwidator ustalił, że do sieci włamano się przez znaną lukę w zabezpieczeniach, która powinno dawno zostać załatana,  odszkodowanie może być niewielkie. Odpowiada to sytuacji, w której ktoś, komu okradziono mieszkanie, otrzymuje niższe odszkodowanie, jeśli okaże się, że zostawił otwarte frontowe drzwi.

Ponieważ incydenty naruszenia bezpieczeństwa cyfrowego stają się coraz powszechniejsze, firmy zaczynają się adaptować. Obejmuje to rezerwowanie środków w budżecie na stałą umowę z firmą specjalizującą w cyberbezpieczeństwie, płacenie za okresowe szkolenia, oceny zagrożeń i ryzyka, a nawet zatrudnianie ekspertów, których zadaniem jest prawidłowe zarządzanie praktykami bezpieczeństwa cyfrowego. Koszty lekceważenia cyberbezpieczeństwa są dziś porównywalne z kosztami rezygnacji z ubezpieczenia, a mimo to wciąż nie brak firm, którym wydaje się, że nigdy nie padną ofiarą cyberataku, i które najwyraźniej nie biorą tych kosztów pod uwagę. Na dłuższą metę to właśnie one zapłacą najwięcej.

Źródło: F-Secure
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości