«МКО Системы» создаёт ИБ-комьюнити CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS) для неформального общения профессионалов в сфере ИБ.
10 ноября 2022 года в Москве прошла первая встреча комьюнити CIRF. По задумке организаторов, комьюнити призвано стать неформальной площадкой, где эксперты ИБ и ИТ, технические специалисты, юристы и разработчики в формате «разговоров в ИБ-курилке», без статусов и регалий смогут обсуждать самые сложные и неудобные вопросы и совместно находить пути их решения.
Первая встреча прошла в Mamaison All-Suites SPA Hotel Pokrovka в Москве. Уже на стойке регистрации гостей было понятно, что всех ждёт не скучное мероприятие в формате «вендор-клиент», а неформальная дружеская встреча коллег, готовых обсуждать и помогать друг другу решать серьёзные проблемы в сфере ИБ. Даже гостевые бейджики содержали только имена без указания места работы и должности. И это создавало очень уютную атмосферу «квартирника».
Первая встреча прошла в Mamaison All-Suites SPA Hotel Pokrovka в Москве. Уже на стойке регистрации гостей было понятно, что всех ждёт не скучное мероприятие в формате «вендор-клиент», а неформальная дружеская встреча коллег, готовых обсуждать и помогать друг другу решать серьёзные проблемы в сфере ИБ. Даже гостевые бейджики содержали только имена без указания места работы и должности. И это создавало очень уютную атмосферу «квартирника».
В роли модератора выступал небезызвестный Дмитрий Борощук (BeholderisHere Consulting). Уже на бизнес-завтраке он задал тон мероприятия — динамичные, жаркие дискуссии без купюр, но с юмором. В ходе дискуссии гости отметили резкий рост хакерских атак на российские сайты за последнее время. По их оценкам, этот показатель увеличился буквально в сотню раз.
Также участились случаи утечек персональных данных из популярных интернет-магазинов и сервисов: Wildberries, DNS, ЯндексЕда и др. Причём сейчас эти данные уже не просто выкладываются в общий доступ «одной простынёй», как было раньше. Они объединяются в общую базу с оболочкой, позволяющей вести быстрый поиск по заданным параметрам, строить различные графы и отмечать места присутствия по геолокации. Последняя «фишка» стала доступной благодаря утечке данных из сервисов доставки еды.
Также участились случаи утечек персональных данных из популярных интернет-магазинов и сервисов: Wildberries, DNS, ЯндексЕда и др. Причём сейчас эти данные уже не просто выкладываются в общий доступ «одной простынёй», как было раньше. Они объединяются в общую базу с оболочкой, позволяющей вести быстрый поиск по заданным параметрам, строить различные графы и отмечать места присутствия по геолокации. Последняя «фишка» стала доступной благодаря утечке данных из сервисов доставки еды.
Серьёзной проблемой для отрасли гости и эксперты назвали нехватку кадров. В России уже давно наблюдается кадровый голод в сфере ИТ, куда входят и специалисты по ИБ. Но сейчас, в связи с проведением СВО, он стал ещё сильнее. Ситуация такова, что в некоторых крупных холдингах на 1 специалиста ИБ приходится более 1000 пользователей. При такой нагрузке «безопасники» просто физически не могут в полном объёме выполнять свои функции. Даже привлечение к работе студентов последних курсов вузов не решает эту проблему полностью.
В ходе активной дискуссии никто не смог предложить решения проблемы нехватки кадров. Но в ходе обсуждения в «ИБ-курилке» зародилась атмосфера клубного общения, и Дмитрий Борощук, воспользовавшись моментом, пригласил гостей и экспертов в зал на основную часть мероприятия. Она состояла из трёх блоков: двух теоретических, одного практического и итоговой «прожарки».
Первым слово взял Николай Казанцев (CEO securitm.ru), поделившийся с гостями своим «Практическим взглядом на ИБ-комплаенс». Специалисты его компании, как и он сам, помогают серьёзно облегчать жизнь сотрудникам ИБ, когда необходимо обеспечить соответствие системы ИБ предприятия государственным законодательным актам.
Компания Николая провела масштабную работу, сравнив между собой российские и зарубежные регламентирующие документы. В ходе сравнения выяснилось, что у российских приказов, выпущенных ФСТЭК, только 20-25 % требований уникальны. А 75-80 % требований дублируются хотя бы раз в других актах. При этом от 46 до 62 % требований одинаковы во всех приказах. Похожая ситуация наблюдается и в зарубежных нормативных актах. В них от 39 до 69 % требований одинаковы во всех стандартах. И только от 24 до 55 % требований уникальны.
Компания Николая провела масштабную работу, сравнив между собой российские и зарубежные регламентирующие документы. В ходе сравнения выяснилось, что у российских приказов, выпущенных ФСТЭК, только 20-25 % требований уникальны. А 75-80 % требований дублируются хотя бы раз в других актах. При этом от 46 до 62 % требований одинаковы во всех приказах. Похожая ситуация наблюдается и в зарубежных нормативных актах. В них от 39 до 69 % требований одинаковы во всех стандартах. И только от 24 до 55 % требований уникальны.
Увидев эти цифры, сотрудники securitm.ru решили разработать ПО, помогающее сотрудникам ИБ после выполнения определённого набора требований узнать процент их соответствия регламентирующим документам. Сделать это можно с помощью программы SECURITM, относящейся к классу SGRC (Security Government Risk and Compliance). Она поможет службам ИБ в средних и крупных компаниях автоматизировать процессы управления безопасностью на базе единой платформы.
Для этого в SECURITM реализован следующий функционал: управление рисками безопасности, контроль соответствия требованиям нормативных актов, управление активами (ITAM), планирование, задачи и процессы, технические уязвимости (VM) и опросы. Все введённые в компании защитные меры представлены наглядно в виде карточек. В них заносятся основные данные о мерах, такие как название меры с описанием и при необходимости инструкцией, ответственный за внедрение, используемые инструменты, периодичность, классификация, способ реализации, влияние на риски и статус.
Такой «картотечный» подход позволяет быстро и наглядно увидеть, требования каких регламентирующих документов уже выполнены на предприятии, какой уровень защиты они обеспечивают, и понять, насколько система ИБ соответствует другим стандартам. SECURITM помогает быстро оценить влияние принятых мер на состояние системы ИБ предприятия в целом и понять, что ещё необходимо предпринять для повышения уровня ИБ компании.
Отдельно Николай отметил различие в первой десятке требований к ИБ в отечественных и зарубежных стандартах. Если в отечественных документах, например, антивирусная защита стоит на 4-м месте, то в зарубежных она занимает последнее, 10-е, место. При этом в отечественных стандартах про обучение персонала вообще не говорится, а в зарубежных регламентах этот пункт занимает 8-е место. Именно поэтому различные векторы хакерских атак по-разному влияют на наши и зарубежные компании. Отечественные компании получают меньше урона от вирусов, но более подвержены утечкам данных со стороны сотрудников. У зарубежных компаний ситуация обратная.
Николаю задали очень интересный вопрос о том, какие регламенты проще и эффективнее: отечественные или зарубежные? По его словам, российские регламенты реализовать намного проще, поскольку они составлены по принципу «бери и делай» и имеют хорошую алгоритмическую проработку. С зарубежными документами ситуация иная. Там много неопределённостей, и поэтому их сложнее реализовать. А вот в эффективности рекомендуемых защитных мер они практически идентичны.
Для этого в SECURITM реализован следующий функционал: управление рисками безопасности, контроль соответствия требованиям нормативных актов, управление активами (ITAM), планирование, задачи и процессы, технические уязвимости (VM) и опросы. Все введённые в компании защитные меры представлены наглядно в виде карточек. В них заносятся основные данные о мерах, такие как название меры с описанием и при необходимости инструкцией, ответственный за внедрение, используемые инструменты, периодичность, классификация, способ реализации, влияние на риски и статус.
Такой «картотечный» подход позволяет быстро и наглядно увидеть, требования каких регламентирующих документов уже выполнены на предприятии, какой уровень защиты они обеспечивают, и понять, насколько система ИБ соответствует другим стандартам. SECURITM помогает быстро оценить влияние принятых мер на состояние системы ИБ предприятия в целом и понять, что ещё необходимо предпринять для повышения уровня ИБ компании.
Отдельно Николай отметил различие в первой десятке требований к ИБ в отечественных и зарубежных стандартах. Если в отечественных документах, например, антивирусная защита стоит на 4-м месте, то в зарубежных она занимает последнее, 10-е, место. При этом в отечественных стандартах про обучение персонала вообще не говорится, а в зарубежных регламентах этот пункт занимает 8-е место. Именно поэтому различные векторы хакерских атак по-разному влияют на наши и зарубежные компании. Отечественные компании получают меньше урона от вирусов, но более подвержены утечкам данных со стороны сотрудников. У зарубежных компаний ситуация обратная.
Николаю задали очень интересный вопрос о том, какие регламенты проще и эффективнее: отечественные или зарубежные? По его словам, российские регламенты реализовать намного проще, поскольку они составлены по принципу «бери и делай» и имеют хорошую алгоритмическую проработку. С зарубежными документами ситуация иная. Там много неопределённостей, и поэтому их сложнее реализовать. А вот в эффективности рекомендуемых защитных мер они практически идентичны.
Далее выступил Александр Дмитриев (генеральный директор ООО «Нейроинформ»). Презентацию на тему «Что такое пентест и кому он нужен?» он начал от противного, доказывая гостям, что пентест бизнесу совсем не нужен. А чтобы он стал ему необходим, главное правильно определить его цели и задачи. Ведь если они изначально неверны, то такой пентест действительно никому не пригодится: ни бизнесу, ни тем, кто его проводит!
Прежде чем заказать проведение пентеста, следует ответить на три вопроса:
Прежде чем заказать проведение пентеста, следует ответить на три вопроса:
- Что необходимо проверить?
- Какова цель проверки?
- Кто является потенциальным злоумышленником?
Только правильно ответив на все три вопроса, можно приступать к заказу пентеста. Александр дал гостям несколько подсказок, помогающих корректно это сделать. Отдельно он отметил, что для сотрудников его компании каждое тестирование — глубокий и творческий процесс, поскольку у каждой компании — свои особенности архитектуры и систем защиты.
И конечно, самое главное — чтобы результаты пентеста привели к принятию реальных мер по усилению безопасности ИТ-инфраструктуры, а не просто легли очередной бумагой в ящик стола!
И конечно, самое главное — чтобы результаты пентеста привели к принятию реальных мер по усилению безопасности ИТ-инфраструктуры, а не просто легли очередной бумагой в ящик стола!
После перерыва дискуссию продолжил Артём Мелёхин с презентацией «Phishing — разговоры о "рыбалке"». Он сразу предложил гостям посетить фишинговый сайт, который по дизайну и цветовой гамме был полностью идентичен сайту СберБанка. Разница была только в доменном имени, и на эту уловку хакеров «клюнуло» множество доверчивых пользователей, оставивших там логины и пароли от своих учетных записей в интернет-банке.
Артём озвучил три основные причины фишинговых атак: деньги, более сложная атака и желание посеять панику. Первая причина чаще всего распространена среди начинающих хакеров, условных «школьников». Они желают показать свои навыки и, конечно, заработать на них. Если фишинг является частью более сложной атаки, значит, за дело взялся мастер и ему будет мало просто получить деньги «на хлеб». Он попытается либо взять под контроль всю корпоративную сеть и извлечь из неё максимум информации, либо «завалить» её, чтобы хорошенько напугать владельцев бизнеса.
Артём озвучил три основные причины фишинговых атак: деньги, более сложная атака и желание посеять панику. Первая причина чаще всего распространена среди начинающих хакеров, условных «школьников». Они желают показать свои навыки и, конечно, заработать на них. Если фишинг является частью более сложной атаки, значит, за дело взялся мастер и ему будет мало просто получить деньги «на хлеб». Он попытается либо взять под контроль всю корпоративную сеть и извлечь из неё максимум информации, либо «завалить» её, чтобы хорошенько напугать владельцев бизнеса.
Из этих трёх пунктов вытекают три разновидности преступников: условные «школьники», сотрудники «частных организаций», специализирующихся на подобных операциях, и сотрудники компании-жертвы, желающие «насолить» руководству. Из всех способов фишинговых атак наиболее эффективны почтовые рассылки с привлекательными предложениями. Причём, по статистике, на них чаще всего «клюют» корпоративные пользователи. Примерно 76 % из них охотно кликают по вредоносным ссылкам в письмах. Частные пользователи более дисциплинированы — только 26 % из них попадаются на «крючок».
Второе место по эффективности занимают фишинговые сайты. Здесь картина обратная. Частные пользователи более охотно заходят на поддельные ресурсы — их доля составляет 43 %. Корпоративные пользователи — более дисциплинированные: из них только 16 % переходят на подобные сайты. Социальные сети и различные мессенджеры также используются для проведения фишинговых атак, но их вклад существенно меньше.
В заключение Артём дал несколько практических рекомендаций, как не попасться на уловки мошенников. Не следует открывать письма от неизвестных адресатов, предлагающих «даром» получить большие выигрыши или огромную скидку на товар. Часто фишинговые письма маскируются под счета от различных транспортных компаний. Если вы ничего не заказывали, подобные письма также стоит игнорировать.
Если вы перешли по ссылке из письма на сайт и вам предлагают ввести данные, например, для входа в интернет-банк, убедитесь в том, что вы находитесь именно на сайте вашего банка, а не на его хакерской копии. Это можно сделать двумя способами: сравнить доменное имя и проверить SSL-сертификат. Если он бесплатный или самоподписанный — это повод насторожиться.
Второе место по эффективности занимают фишинговые сайты. Здесь картина обратная. Частные пользователи более охотно заходят на поддельные ресурсы — их доля составляет 43 %. Корпоративные пользователи — более дисциплинированные: из них только 16 % переходят на подобные сайты. Социальные сети и различные мессенджеры также используются для проведения фишинговых атак, но их вклад существенно меньше.
В заключение Артём дал несколько практических рекомендаций, как не попасться на уловки мошенников. Не следует открывать письма от неизвестных адресатов, предлагающих «даром» получить большие выигрыши или огромную скидку на товар. Часто фишинговые письма маскируются под счета от различных транспортных компаний. Если вы ничего не заказывали, подобные письма также стоит игнорировать.
Если вы перешли по ссылке из письма на сайт и вам предлагают ввести данные, например, для входа в интернет-банк, убедитесь в том, что вы находитесь именно на сайте вашего банка, а не на его хакерской копии. Это можно сделать двумя способами: сравнить доменное имя и проверить SSL-сертификат. Если он бесплатный или самоподписанный — это повод насторожиться.
Дальше эстафету приняли юристы. Елена Юлова, председатель Московской коллегии адвокатов «Юлова и партнеры», начала своё выступление с того, что сразу настроила аудиторию на серьёзный разговор заявлением о том, что в российской юриспруденции нет признанного понятия цифровых доказательств. Поэтому первая и главная задача специалистов по форензике — превратить собранные доказательства в письменную или вещественную форму, так как именно такие формы доказательств предусмотрены ст. 55 ГПК РФ, ст. 74 УПК РФ, ст. 64 АПК РФ и ст. 26.2 КоАП РФ. Помимо этого, собранные доказательства должны удовлетворять трём условиям: быть допустимыми, относимыми и достоверными.
Для получения вещественных доказательств возможно использовать следующие способы: скриншот, фотографирование экрана, копирование на физический носитель, распечатка файлов и переписки, а также хранение в облачном сервисе. Только в этих случаях все собранные доказательства могут быть приняты и рассмотрены судом.
Письменные доказательства — это электронные или иные документы, электронные образы документов и т.п., зафиксированные на бумажных носителях.
Для получения вещественных доказательств возможно использовать следующие способы: скриншот, фотографирование экрана, копирование на физический носитель, распечатка файлов и переписки, а также хранение в облачном сервисе. Только в этих случаях все собранные доказательства могут быть приняты и рассмотрены судом.
Письменные доказательства — это электронные или иные документы, электронные образы документов и т.п., зафиксированные на бумажных носителях.
Отдельно Елена остановилась и на юридическом оформлении процесса сбора доказательств. Все письменные доказательства обязательно должны сопровождаться, например, актом, в котором фиксируются все действия по их сбору. Также в акте должны быть ссылки на приказ о проведении служебной проверки и/или оказание юридической помощи адвокатом.
Также можно оформить письменные доказательства у нотариуса, сделав, например, скриншот экрана и заверив его.
Вещественные доказательства предоставляются на физических носителях, например флеш-картах, внешних жестких дисках и других носителях. Все физические носители должны быть упакованы надлежащим образом и опечатаны, чтобы исключить их несанкционированное вскрытие.
В качестве процессуальной формы доказательств могут использоваться материалы служебной проверки, результаты адвокатского расследования и осмотр и обеспечение доказательств нотариусом. Все процессуальные формы должны подкрепляться соответствующими локальными нормативными актами.
В конце своего доклада Елена Юлова рассказала о нескольких завершённых делах с примерами сбора и оформления доказательств.
Также можно оформить письменные доказательства у нотариуса, сделав, например, скриншот экрана и заверив его.
Вещественные доказательства предоставляются на физических носителях, например флеш-картах, внешних жестких дисках и других носителях. Все физические носители должны быть упакованы надлежащим образом и опечатаны, чтобы исключить их несанкционированное вскрытие.
В качестве процессуальной формы доказательств могут использоваться материалы служебной проверки, результаты адвокатского расследования и осмотр и обеспечение доказательств нотариусом. Все процессуальные формы должны подкрепляться соответствующими локальными нормативными актами.
В конце своего доклада Елена Юлова рассказала о нескольких завершённых делах с примерами сбора и оформления доказательств.
Тему форензики органично продолжил Даниэль Клюев — эксперт в области извлечения и анализа данных из ПК компании «МКО Системы». Но сначала он напомнил гостям о возможностях ПО класса DFIR в сфере форензики на примере МК Enterprise. Вот они:
Также у МК Enterprise имеется агентский режим, с помощью которого возможно проводить дистанционное извлечение и анализ данных с любого ПК, сервера или хранилища в корпоративной сети предприятия. Используя специально настроенного агента, можно быстро извлечь и провести анализ файлов, программ, реестра и системных артефактов на наличие различного вредоносного кода и ПО, а также выявить следы хакерской активности.
- дистанционное исследование рабочих станций под управлением Windows, macOS, GNU/Linux;
- исследование группы рабочих станций под управлением Windows;
- извлечение данных из устройств на базе Android и iOS;
- получение доступа к информации, находящейся в облачных хранилищах;
- анализ коммуникаций владельца устройства или учётной записи;
- построение полной хронологии инцидента;
- изучение полной файловой базы объекта исследования;
- поиск данных внутри извлечения по заданным параметрам.
Также у МК Enterprise имеется агентский режим, с помощью которого возможно проводить дистанционное извлечение и анализ данных с любого ПК, сервера или хранилища в корпоративной сети предприятия. Используя специально настроенного агента, можно быстро извлечь и провести анализ файлов, программ, реестра и системных артефактов на наличие различного вредоносного кода и ПО, а также выявить следы хакерской активности.
Также у МК Enterprise имеется агентский режим, с помощью которого возможно проводить дистанционное извлечение и анализ данных с любого ПК, сервера или хранилища в корпоративной сети предприятия. Используя специально настроенного агента, можно быстро извлечь и провести анализ файлов, программ, реестра и системных артефактов на наличие различного вредоносного кода и ПО, а также выявить следы хакерской активности.
Даниэль рассказал о существенном отличии систем DFIR от DLP. Всё дело в том, что для корректного сбора доказательств и предотвращения атаки система DLP должна быть установлена на ПК или серверах до начала вторжения. Если её использовать после атаки, то ничего найдено не будет. С МК Enterprise ситуация иная. Вы можете запустить агента как после, так и во время атаки. В обоих случаях все необходимые данные будут корректно собраны, зафиксированы и проанализированы.
Использование агентского режима МК Enterprise поможет существенно повысить эффективность работы сотрудников службы ИБ. Ведь достаточно установить на критически важные ПК в организации агентов и корректно их настроить, чтобы оперативно реагировать на хакерские атаки.
Также Даниэль продемонстрировал кейс поиска малвари с использованием правил YARA.
Даниэль рассказал о существенном отличии систем DFIR от DLP. Всё дело в том, что для корректного сбора доказательств и предотвращения атаки система DLP должна быть установлена на ПК или серверах до начала вторжения. Если её использовать после атаки, то ничего найдено не будет. С МК Enterprise ситуация иная. Вы можете запустить агента как после, так и во время атаки. В обоих случаях все необходимые данные будут корректно собраны, зафиксированы и проанализированы.
Использование агентского режима МК Enterprise поможет существенно повысить эффективность работы сотрудников службы ИБ. Ведь достаточно установить на критически важные ПК в организации агентов и корректно их настроить, чтобы оперативно реагировать на хакерские атаки.
Также Даниэль продемонстрировал кейс поиска малвари с использованием правил YARA.
Вячеслав Копейцев (Senior security researcher в Kaspersky ICS CERT), открывая практическую часть комьюнити, поделился своим опытом в презентации «Расследования инцидентов в АСУ ТП». Гости весьма оживлённо обсудили три представленных практических кейса.
Наибольший интерес вызвал кейс о «зависаниях» PLC-контроллеров на цементном заводе. При анализе причины «зависания» экспертам не удалось выявить какой-либо закономерности. Всё активное оборудование было проверено сотрудниками завода и вендорами и признано технически исправным.
Анализ сетевого трафика помог установить, что причиной сбоев стал троян, который использовался более 12 лет назад для DDOS-атак. Сервер, с которым взаимодействовал вирус, был заблокирован ещё в 2012 году. Невзирая на это, вредоносное ПО с маниакальной настойчивостью пыталось к нему подключиться, генерируя огромный сетевой трафик, перегружающий запросами DNS-сервер.
Развитию атаки помогло и то, что установленные на заводе сетевые коммутаторы были построены «местными умельцами» на базе обычных PLC. Поэтому они просто не могли справиться с большим потоком сетевого трафика, что и вызывало их «зависание».
Наибольший интерес вызвал кейс о «зависаниях» PLC-контроллеров на цементном заводе. При анализе причины «зависания» экспертам не удалось выявить какой-либо закономерности. Всё активное оборудование было проверено сотрудниками завода и вендорами и признано технически исправным.
Анализ сетевого трафика помог установить, что причиной сбоев стал троян, который использовался более 12 лет назад для DDOS-атак. Сервер, с которым взаимодействовал вирус, был заблокирован ещё в 2012 году. Невзирая на это, вредоносное ПО с маниакальной настойчивостью пыталось к нему подключиться, генерируя огромный сетевой трафик, перегружающий запросами DNS-сервер.
Развитию атаки помогло и то, что установленные на заводе сетевые коммутаторы были построены «местными умельцами» на базе обычных PLC. Поэтому они просто не могли справиться с большим потоком сетевого трафика, что и вызывало их «зависание».
Обнаружить эту проблему помогла утилита Gephi, умеющая рисовать графы на основе дампа трафика. После её запуска экспертам стало понятно, на какие сетевые адреса идёт максимальное количество запросов.
Вячеслав поделился с комьюнити перечнем программ, которые он использует в ходе расследований и устранения последствий инцидентов. Этот список практически полностью совпал с теми программами, которые в своих расследованиях использует модератор комьюнити Дмитрий Борощук.
Вячеслав поделился с комьюнити перечнем программ, которые он использует в ходе расследований и устранения последствий инцидентов. Этот список практически полностью совпал с теми программами, которые в своих расследованиях использует модератор комьюнити Дмитрий Борощук.
Менеджер компании «Технологии доверия» Олег Безик продолжил тему форензики презентацией «Компьютерная криминалистика как инструмент корпоративных расследований». Он поделился с коллегами своим опытом в расследовании хищения крупной суммы в одной крупной компании. Вот этот кейс.
Накануне Нового года, 26 декабря, бухгалтерия компании осуществляет суммарный перевод 80 миллионов рублей на счета различных фирм-однодневок и после этого уходит на праздничные каникулы. После праздников транзакции обнаруживаются и начинается расследование.
Накануне Нового года, 26 декабря, бухгалтерия компании осуществляет суммарный перевод 80 миллионов рублей на счета различных фирм-однодневок и после этого уходит на праздничные каникулы. После праздников транзакции обнаруживаются и начинается расследование.
В ходе него выясняется, что все платёжки, которые были одобрены руководством для «пакетной» оплаты, направлялись в специальную папку, доступ на запись в которую имел только главный бухгалтер компании. Но на момент проведения платежа главбух был в отпуске. Специалистам удалось найти следы реквизитов платёжек в одном из файлов, который был создан заместителем главного бухгалтера примерно за месяц до инцидента. На основе этого факта было возбуждено уголовное дело, и, конечно, заместитель главного бухгалтера был уволен. Также в компании была пересмотрена процедура одобрения платежей, введен дополнительный контроль и обновлён регламент службы ИБ.
В другом кейсе расследовались факты хищения клиентской базы и нецелевого использования средств компании бывшим CEO. В нём ситуация была более запутанной и осложнялась наличием сговора бывшего CEO и действующего CIO. Но несмотря на это, специалистам по форензике удалось собрать неопровержимые доказательства причастности бывшего CEO к финансовым махинациям. Также был обнаружен виновный в утечке клиентской базы. Им оказался действующий CIO. Именно он помог бывшему CEO получить данную информацию.
По результатам расследования, на бывшего CEO компания подала в суд, а действующий CIO был отстранён от должности и была инициирована внутренняя проверка его деятельности. В самой компании был проведён аудит текущей системы ИБ и началось построение новой системы менеджмента ИБ.
Как видно из приведённых практических кейсов, компьютерная криминалистика является эффективным инструментом для решения различных задач в рамках внутренних корпоративных расследований. Она может помочь при сборе доказательств для возбуждения уголовных дел.
После окончания официальной части состоялось награждение памятными призами самых активных слушателей и экспертов, чьи доклады получили наибольшую оценку. Подводя итог встречи, Дмитрий Борощук предложил гостям и экспертам предсказать, как будет развиваться рынок систем ИБ в 2023 году.
В другом кейсе расследовались факты хищения клиентской базы и нецелевого использования средств компании бывшим CEO. В нём ситуация была более запутанной и осложнялась наличием сговора бывшего CEO и действующего CIO. Но несмотря на это, специалистам по форензике удалось собрать неопровержимые доказательства причастности бывшего CEO к финансовым махинациям. Также был обнаружен виновный в утечке клиентской базы. Им оказался действующий CIO. Именно он помог бывшему CEO получить данную информацию.
По результатам расследования, на бывшего CEO компания подала в суд, а действующий CIO был отстранён от должности и была инициирована внутренняя проверка его деятельности. В самой компании был проведён аудит текущей системы ИБ и началось построение новой системы менеджмента ИБ.
Как видно из приведённых практических кейсов, компьютерная криминалистика является эффективным инструментом для решения различных задач в рамках внутренних корпоративных расследований. Она может помочь при сборе доказательств для возбуждения уголовных дел.
После окончания официальной части состоялось награждение памятными призами самых активных слушателей и экспертов, чьи доклады получили наибольшую оценку. Подводя итог встречи, Дмитрий Борощук предложил гостям и экспертам предсказать, как будет развиваться рынок систем ИБ в 2023 году.
Большинство взявших слово сошлось во мнении, что в 2023 году на рынок систем ИБ выйдут новые российские компании с интересными продуктами. Ведь уход зарубежных вендоров способствовал открытию новых возможностей для отечественных разработчиков, и, конечно, наиболее крупные компании этим воспользуются. Эксперты и гости также предположили, что число хакерских атак и случаев утечек и хищений персональных данных будет только увеличиваться, и на это есть несколько причин. ИТ-технологии всё глубже проникают в нашу жизнь, а грамотность многих пользователей в сфере ИБ остается довольно низкой, что способствует успешной деятельности хакеров.
В целом, подводя итог CIRF, можно сказать, что организатору комьюнити, компании «МКО Системы», удалось создать увлекательный формат мероприятия, на котором отлично сочетались непринуждённая клубная, дружеская атмосфера и насыщенная деловая программа. Ну а харизма и авторитет ведущего помогли создать сильный позитивный драйв в «ИБ-курилке». В результате этой синергии гости и спикеры получили огромный заряд позитивной энергии и узнали много интересной и полезной информации, как и было обещано в анонсе без рекламы!
До новых встреч на очередном заседании CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS)!
До новых встреч на очередном заседании CIRF (CORPORATE INCIDENT RESPONSE AND FORENSICS)!
Российская Федерация
105064, Москва
Нижний Сусальный пер., д. 5, стр. 8Б
© ООО «МКО Системы».
Все права защищены.
105064, Москва
Нижний Сусальный пер., д. 5, стр. 8Б
© ООО «МКО Системы».
Все права защищены.