Qual é o negócio com a auditoria Forence Digital para Resposta a Incidentes e Atribuição?
Depois de vários ataques cibernéticos de alto nível que fizeram grandes manchetes este ano, ficou evidente, através de comentários on-line. Há alguma confusão sobre como os serviços de resposta a incidentes são utilizados. A atribuição é realizada e nosso papel é atender respondendo os principais temas identificados nas enquetes. Este artigo ajude a esclarecer as coisas e respondendo algumas das perguntas mais freqüentes.
Os inquéritos à criminalidade cibernética são de natureza semelhante às investigações sobre fraude e criminalidade financeira. Hoje em dia uma grande quantidade de crimes financeiros são, de fato, crimes cibernéticos. Os crimes cibernéticos, assim como os crimes financeiros, são freqüentemente difíceis de detectar.
No caso de crimes financeiros, pode levar algo como uma auditoria financeira trimestral para revelar que algo suspeito está acontecendo. Alguns crimes cibernéticos são sutis como este, também. Por exemplo, no caso de um invasor oculto que mantém a persistência em uma rede corporativa para fins de exfiltração de dados a longo prazo, a intrusão só pode ser revelada durante uma varredura de rede, como parte do processo periódico de avaliação de ameaças ou através de uma intrusão recém-instalada Sistema de detecção. Nem todos os crimes cibernéticos são difíceis de detectar. Alguns crimes cibernéticos revelam-se como parte da operação - um atacante entrará em contato com a organização vítima e tentará extorquir um resgate, ou um invasor vazará dados para o público, e a empresa vítima vai descobrir sobre ele.
É interessante notar que várias violações de alto nível durante os últimos anos foram descobertas quando um fornecedor de segurança cibernética instalou sua pilha de tecnologia na rede da vítima como parte de uma demo de pré-venda ou período experimental.
Independentemente de como ele é descoberto, uma vez que uma empresa suspeita que eles são vítimas de um crime financeiro ou cibernético, eles precisam coletar provas adicionais antes de envolver a aplicação da lei. Uma vez que uma investigação é iniciada, uma variedade de auditores de terceiros são geralmente trazidos para ajudar. No caso de suspeita de fraude ou crime financeiro, as companhias de seguros podem fornecer alguns desses serviços. No caso de um crime cibernético, uma empresa de segurança cibernética especializada em forense digital e resposta a incidentes será chamado.
A organização da vítima paga por tais serviços de seu próprio bolso. Por quê? Porque a resposta a incidentes não é apenas sobre forense. Trata-se de limpar sistemas afetados, restaurar a rede para um estado não comprometido, restaurar dados perdidos, e muitas vezes também é fornecer assistência à organização vítima no ajuste de práticas de segurança e planos de gerenciamento de riscos para evitar incidentes futuros. Como parte do processo de resposta a incidentes, a aplicação da lei está envolvida uma vez que foram reunidas provas suficientes para determinar quando e como o crime foi cometido.
Uma vez envolvidos, as agências de aplicação da lei utilizam os dados forenses recolhidos por operações de resposta a incidentes privadas como ponto de partida para as suas próprias investigações. Lembre-se que a polícia tem acesso a fontes adicionais de evidência que os investigadores privados não. Por exemplo, as agências de aplicação da lei podem citar registros de fontes privadas adicionais (como provedores de serviços de Internet) e podem correlacionar dados de outras investigações que eles executaram. Na nossa experiência, a aplicação da lei muitas vezes continuará a cooperar com os primeiros intervenientes de terceiros durante uma investigação criminal em curso.
A atribuição é mais uma arte do que uma ciência. Quando se trata de crimes cibernéticos, respondedores de incidentes privados executam suposições educadas. Isso geralmente envolve a correlação das táticas, técnicas e procedimentos (TTPs) encontrados na cena do crime com casos anteriores ou inteligência de ameaça de código aberto. Esta suposição inclui a análise de amostras, como ferramentas personalizadas ou malware, encontrados na cena, padrões de linguagem e conteúdo encontrados em e-mails de phishing, locais de servidores C & C e sites de phishing, técnicas usadas para persistência ou movimento lateral, endereços IP associados aos ataques , E quaisquer outros metadados descobertos durante a investigação. Os motivos dos grupos criminosos suspeitos também podem influenciar as suposições de atribuição. Não é incomum para as empresas privadas de segurança cibernética trabalhar com a aplicação da lei ao determinar a atribuição. No entanto, devido à natureza confidencial dos trabalhos de aplicação da lei em curso, as provas recolhidas por ou fornecidas pelas agências de aplicação da lei normalmente não são tornadas públicas como parte das conclusões de atribuição de terceiros.
Há muito menos empresas de segurança cibernética no mundo do que há seguros e empresas de serviços financeiros. Por causa disso, a demanda por empresas de serviços de segurança cibernética é alta. Tão alto, na verdade, que as organizações conscientes da segurança muitas vezes pagam uma taxa anual para manter uma empresa de segurança cibernética a sua disposição. Ao fazer isso, eles garantem que a ajuda estará à mão assim que um incidente acontecer, e que os preços para o trabalho de resposta a incidentes sejam ágeis e cobrados sem a taxa de urgência e ocasionalidade.
Leia o texto original aqui no site da F-Secure
A ConsultCORP é especialista em antivirus corporativo, antivirus para empresas, antivirus empresarial e soluções de proteção TI para empresas