.PNG)
Компания обнаружила, что данные клиентов утекли. Или что год назад в сеть попал злоумышленник и до сих пор там находится. Или что финансовый директор перевёл деньги мошенникам по поддельному письму. В каждом из этих случаев нужен ответ на три вопроса: что произошло, как далеко зашла атака и какие данные скомпрометированы. Это и есть расследование инцидентов информационной безопасности.
1Что такое расследование инцидентов ИБ
Расследование инцидентов информационной безопасности — это структурированный процесс анализа цифровых следов атаки с целью установить: вектор проникновения, хронологию действий атакующего, масштаб компрометации, затронутые данные и системы. Основа расследования — компьютерная форензика (цифровая криминалистика): сбор и анализ цифровых доказательств.
Расследование отличается от простого реагирования на инцидент. Реагирование — остановить атаку и восстановить работу системы. Расследование — понять, как это стало возможным, найти все скомпрометированные узлы (а не только очевидные) и собрать доказательную базу для регуляторов или суда.
Сохраните цифровые улики до начала расследования
2Когда нужно расследование инцидента ИБ
Расследование инцидентов ИБ необходимо в следующих ситуациях:
Атака шифровальщика (ransomware)
Необходимо установить: как вирус попал в сеть, сколько систем заражено, были ли данные эксфильтрированы до шифрования. Без этого нельзя гарантировать чистоту восстановленной инфраструктуры.
Утечка персональных данных
152-ФЗ обязывает уведомить Роскомнадзор об утечке персональных данных в течение 24 часов с момента обнаружения. Для уведомления нужно знать, какие данные и в каком объёме скомпрометированы — это результат расследования.
Подозрение на инсайдерскую угрозу
Сотрудник скачал базу клиентов перед увольнением, передал данные конкурентам, саботировал системы. Расследование восстанавливает хронологию и собирает доказательную базу для дисциплинарного взыскания или уголовного дела.
Компрометация привилегированных учётных записей
Если скомпрометирован администраторский аккаунт — нужно понять, что именно делал атакующий с этим доступом. Простая смена пароля не устраняет последствия, если за это время были созданы бэкдоры или изменены права.
Инцидент на объекте КИИ
187-ФЗ и Указ ФСБ обязывают субъектов КИИ направить отчёт об инциденте в НКЦКИ. Отчёт должен содержать хронологию, технические индикаторы компрометации и описание принятых мер — всё это формируется по результатам расследования.
BEC-мошенничество (Business Email Compromise)
Злоумышленник выдал себя за директора или контрагента и инициировал перевод денег. Расследование устанавливает: как была скомпрометирована переписка, сколько времени у атакующего был доступ к почте, какие данные он видел.
3Этапы расследования инцидентов ИБ
Профессиональное расследование проводится по стандарту NIST SP 800-61 (Computer Security Incident Handling Guide) с адаптацией к российскому правовому полю:
| Этап | Срок | Что делается |
|---|---|---|
| 1. Первичное реагирование | 1–4 часа | Изоляция скомпрометированных систем, сбор volatile-данных (оперативная память, активные сетевые соединения), фиксация состояния до изменений |
| 2. Сбор криминалистических данных | 1–2 дня | Снятие образов дисков, экспорт логов (ОС, приложения, сеть, SIEM), сохранение цифровых артефактов с хеш-суммами для юридической значимости |
| 3. Анализ и восстановление хронологии | 3–7 дней | Анализ файловых артефактов, реестра, логов; восстановление таймлайна действий атакующего; поиск индикаторов компрометации (IoC) во всей инфраструктуре |
| 4. Оценка масштаба компрометации | 1–3 дня | Определение всех затронутых систем и данных, проверка на наличие бэкдоров и механизмов закрепления, анализ эксфильтрации данных |
| 5. Отчётность и рекомендации | 2–3 дня | Технический отчёт с хронологией, IoC для блокировки, рекомендации по устранению уязвимостей, при необходимости — документы для НКЦКИ, РКН, суда |
4Методы цифровой криминалистики (форензики)
Компьютерная форензика — это наука о сборе и анализе цифровых доказательств при соблюдении процессуальных требований к сохранности улик. Основные методы:
Форензика дисков (Disk Forensics)
Побитовое снятие образа диска, анализ файловой системы, удалённых файлов, временны́х меток (MACE). Выявляет инструменты атакующего, скачанные файлы, изменённые конфигурации.
Анализ оперативной памяти (Memory Forensics)
Дамп RAM позволяет найти вредоносные процессы, зашифрованные ключи, сетевые соединения и следы бесфайловых (fileless) атак, которые не оставляют следов на диске.
Сетевая форензика (Network Forensics)
Анализ PCAP-дампов трафика, NetFlow, DNS-запросов. Выявляет серверы управления (C2), каналы эксфильтрации данных и следы горизонтального перемещения атакующего.
Анализ логов и SIEM
Корреляция событий из разных источников для построения полной картины атаки. Особенно важен анализ логов контроллера домена Active Directory — центральной точки атак в Windows-инфраструктуре.
Форензика облачных сред
Анализ Cloud Trail логов (AWS), Azure Monitor, Yandex Cloud Audit. Атаки через облачные API часто не оставляют следов в традиционных источниках.
Мобильная форензика
Анализ смартфонов и планшетов при расследовании инсайдерских инцидентов, мошенничества или хищения данных через мобильные устройства.
24ч
на уведомление
РКН при утечке ПДн (152-ФЗ)
197
дней
среднее время без обнаружения атаки
4ч
реакция
SLA первичного реагирования КРЕДО-С
100%
юридическая
значимость собранных доказательств
5Что входит в отчёт о расследовании инцидента
Отчёт — главный результат расследования. Он должен отвечать на вопросы как технических специалистов, так и регуляторов и руководства. Стандартный отчёт КРЕДО-С включает:
Исполнительное резюме — ключевые выводы на языке бизнеса, без технических деталей, с оценкой ущерба
Хронология атаки — таймлайн всех зафиксированных действий от первого проникновения до обнаружения
Технические индикаторы компрометации (IoC) — IP-адреса, хеши файлов, домены, сигнатуры для блокировки
Реестр скомпрометированных систем и данных — с указанием типов данных и периода компрометации
Анализ коренных причин — уязвимости и ошибки конфигурации, ставшие точкой входа
Plan устранения — приоритизированный список технических мер для предотвращения повторения
Документы для регуляторов — уведомления для НКЦКИ (187-ФЗ), РКН (152-ФЗ), материалы для правоохранительных органов
Юридически значимые доказательства
RFC 3227 + ГОСТ
Сбор доказательств ведётся по стандарту RFC 3227 (Guidelines for Evidence Collection and Archiving) с составлением актов хранения улик. Документация принимается судами и правоохранительными органами РФ.
6Расследование инцидентов и требования регуляторов
Ряд регуляторных требований напрямую обязывает проводить расследование и документировать его:
| Документ | Требование | Срок |
|---|---|---|
| 152-ФЗ + Постановление Правительства №1119 | Уведомление РКН об утечке персональных данных. В уведомлении — объём, категории ПДн, обстоятельства инцидента | 24 часа с момента обнаружения |
| 187-ФЗ + Приказ ФСБ №282 | Направление в НКЦКИ информации об инциденте на объекте КИИ | 3 часа после обнаружения для значимых объектов |
| Приказ ФСТЭК №239 | Реагирование на инциденты (мера ИНЦ) — обязательный класс мер для КИИ | Соответствует категории значимости объекта |
| ГОСТ Р 57580.1 | Управление инцидентами ИБ, расследование, накопление данных об инцидентах | Непрерывный процесс |
Если инцидент затронул объекты КИИ — подробнее о подключении к ГосСОПКА и требованиях 187-ФЗ: подключение к ГосСОПКА — пошаговая инструкция.
7Как предотвратить повторение инцидента
Расследование даёт ответ на вопрос «как это произошло». Следующий шаг — устранить причины. Типичные меры по итогам расследований:
Выявленная точка входа — уязвимость или конфигурация
Если атакующий попал через уязвимый VPN-шлюз или непропатченный сервер — немедленное обновление плюс сканирование всего периметра на аналогичные уязвимости. Читайте подробнее: анализ защищённости инфраструктуры.
Фишинг как вектор проникновения
Если сотрудник открыл вредоносное вложение — внедрение фишинг-симуляций и повышение осведомлённости персонала. Технические меры: sandboxing почты, блокировка макросов Office.
Слабость мониторинга — атака не была замечена вовремя
Если атакующий находился в сети месяцами — это прямое указание на необходимость выстроенного SIEM-мониторинга. Без непрерывного мониторинга следующий инцидент повторит сценарий.
Избыточные привилегии как условие успеха атаки
Если атакующий сразу получил права администратора домена — пересмотр модели привилегированного доступа, внедрение PAM-решения, принцип минимальных привилегий.
Выстроить непрерывный мониторинг, чтобы следующая атака была обнаружена за часы, а не за месяцы: мониторинг событий ИБ — как работает SIEM и SOC.
Провести полный анализ защищённости инфраструктуры, чтобы закрыть все выявленные в расследовании точки входа: анализ защищённости инфраструктуры.
Заказать расследование инцидента ИБ — выезд в течение 4 часовЧасто задаваемые вопросы
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Игорь Петров
Руководитель отдела реагирования на инциденты
Ведёт расследования киберинцидентов в КРЕДО-С. Опыт в форензике и Incident Response — 8 лет. Провёл более 200 расследований для финансовых организаций, промышленных предприятий и субъектов КИИ.