What is DFIR?

Так вышло, что за последний год я не раз поднимала тему различия между DF (digital forensics) и DFIR (digital forensics & incident response).

Оказалось, некоторое заблуждение в этих понятиях достаточно распространено: я поняла это, когда наткнулась на видео Кевина, где он как раз поднимает эту тему (здесь мне стало даже как-то легче, что бомбит от этой путаницы не только меня) и рассказывает, насколько часто ищут работу со словами «хочу быть форензиком!», и когда сталкиваются с описанием работы криминалиста в чистом виде, говорят «да неее, это не то, яж про другое…»

Так вот, какое другое? Что это все вообще значит?

Есть направление цифровой криминалистики.
Есть – реагирования на инциденты.
Как ни странно, но DFIR совмещает оба этих понятия.

Цифровая криминалистика включает в себя проведение судебных и компьютерных экспертиз, предоставление для судебных процессов необходимых цифровых улик при расследовании инцидентов, восстановление и анализ удаленных данных при наличии технической возможности.

На входе эксперту дают любое цифровое устройство, диски, либо отдельные данные, собранные в соответствии со строгими правилами для соблюдения нормативно-правовых актов и во избежание любого искажения при снятии информации с носителя. Результаты и отдельные детали могут запрашиваться дополнительно в рамках расследования, однако абсолютно все должно быть четко описано и зафиксировано (вплоть до цвета съемного носителя), собрано, проанализировано, верно интерпретировано и оформлено в соответствии с установленным порядком.

На выходе – подробный отчет, что было проанализировано, какие следы найдены. Отчет должен содержать однозначные ответы на конкретные вопросы, связанные с расследованием или релевантные кейсу (например, вопрос: имеются ли следы работы ВПО на рабочей станции X? Если да, то какие именно?)

В идеале, действия выполняются квалифицированным специалистом с подтвержденным опытом и экспертизой

Реагирование на инциденты – это реагирование на инциденты.

Анализ данных СЗИ, журналов прикладного ПО и конечных устройств, локализация инцидента, сдерживание, ликвидация и восстановление, lessons learned и вот это все. Реагировать на инцидент можно «своими силами»: сотрудник по ИБ увидел оповещение антивирусного ПО, просканировал хост повторно, перепроверил на подозрительную активность, убедился, что все штатно, но сделал выводы, что нужно перебдеть и скорректировать групповую политику – все это реагирование. Но просто удалить подозрительный файл и забыть – тоже реагирование, да, с другим подходом, но тем не менее

Реагирование на инцидент может выполняться и не совсем своевременно, например, через год после его «совершения». К примеру, год назад ваша инфраструктура оказалась зашифрована, но никто особо не вникал, потому что удалось полностью восстановиться. После чего запустили полную проверку антивирусом да наладили патч-менеджмент, и на тот момент было принято решение, что этого достаточно. Через год сменилось руководство, и оказалось, что нужно выяснять все детали атаки, и не только потому, что нужно «закрыть дыру», но и для того, чтобы понять, а точно ли мы в полной мере знаем про нанесенный нам ущерб (а не выгрузили ли какие-либо наши данные?), а не закрепились ли злоумышленники где-то в сети, а можем ли мы вообще мониторить подобное и не допускать впредь? И вот оно, снова реагирование. Правда, с единственной разницей – данных для анализа вероятнее всего уже будет гораздо меньше

И наконец, реагирование на инциденты и цифровая криминалистика (DFIR) – это все вместе, утрируя, реагирование с использованием практик и методов цифровой криминалистики. Далеко не всегда штатное логирование ОС дает полную картину случившегося, не всегда включен расширенный аудит или журналы имеют крайне малую глубину хранения, про EDR и централизованный сбор телеметрии слышали далеко не все, либо по иным причинам до конца непонятно, что произошло: как раз здесь может помочь криминалистика, ее методы и подходы к анализу данных. И вот тут как раз можно пофорензить, то есть исследовать образ диска, память, собранные криминалистические артефакты. При необходимости детального исследования скомпрометированных узлов, может потребоваться их более глубокое изучение (deep dive forensics), для более четкого понимания картины произошедшего. Важно! Отчеты респондеров могут содержать допущения, предположения, чтобы помочь и дать дополнительные рекомендации по улучшению и харденингу систем. Но даже если предположение есть, это всегда указывается в явном виде, никаких догадок и домыслов просто так. Криминалиста, вероятнее всего, с такими допущениями в принципе развернут и отправят на «доисследование»

Кратко подводя итог...

Криминалист не реагирует на инцидент! Он говорит фактами, что происходило с конкретным устройством(-ами). Респондер распутывает всю цепочку, дает вам рекомендации, что делать сейчас и потом, может охотиться за злоумышленниками вместе с вами, а может делать пост-анализ спустя время.

IR – это одна из областей применения криминалистического анализа.
Уметь форензить понадобится в обоих случаях, поэтому, конечно же, в привычном обиходе могут называть форензиками и тех, и других

Главное, понимать эту разницу :)

Вернуться к началу →