妨碍快速和有效的网络犯罪调查的十大错误

夜里，公司账户上的钱被提取了。早上，惊慌失措，导致了更多的问题。例如，IT部门重新安装被破坏的系统--从头开始或从备份恢复。在第一种情况下，入侵者的痕迹被抹去了，来访的事件调查小组只剩下举手之劳和在其他系统上长时间搜索文物。在第二种情况下，存在着恢复已经被破坏的图像的风险。在这篇文章中，我们将讨论阻碍对黑客做出合格和快速反应的主要陷阱。

错误#1 - 缺乏应对计划

一家公司的钱被盗了。它只有防病毒软件。管理层不让我们关闭服务器和账户，因为他们不知道这将对业务产生什么影响。我们花了好几天时间试图找出谁拥有被攻击的电脑以及他们在公司中的作用，而黑客可能正在清空自动取款机、取钱或窃取数据。除了应对事件外，还有一系列的组织问题。如果一个公司有日志记录、基本的资产管理和对业务流程的理解，那就不同了。这使得公司员工能够在攻击的中间阶段发现网络上的黑客，对于我们来说，如果事件真的发生了，可以立即处理问题而不浪费宝贵的时间。这种方法大大增强了事件调查的有效性，并有可能防止严重的影响。

应对计划的目的是在事件发生时消除意外因素，并考虑采取措施将损失降到最低。重要的是评估技术手段是否足以收集和储存事故调查所需的数据。也有必要了解内部团队在调查事件方面的专业知识。如果没有什么调查专长，应寻求外部专长。

应对计划还规定了在事件发生时公司内负责人员的角色。IT部门收集与事件有关的数据。管理部门、法律部门或公关部门（或所有部门一起）负责与外界打交道。他们需要知道在什么事件（客户数据被盗，金钱等），以及他们需要通知谁（客户，监管机构，当局）。

在某些领域（银行、关键基础设施），信息安全事件必须向监管机构报告。其他公司必须与保险公司联系--这一点也需要说明，延迟可能会使受害者失去保险索赔的机会。所有这些都应事先与律师和事件调查员讨论。

为了避免每检测到一个病毒就要向公司收取一半的费用，应该按照威胁程度和受影响节点的重要性来划分事件。比方说，在一个会计的电脑上发现了间谍软件，这就是头号警报。检查清单应该包括一个恶意用户可能在上面进行的所有潜在活动：挪用资金、欺骗凭证、远程银行中的授权、安装远程计算机管理的隐藏工具、复制用户的电子签名密钥等。接下来是全面的调查和了解黑客走了多远。这将表明哪些反措施是可能的，以及在什么阶段。以会计师为例，这可能是：重新设置远程银行系统的钥匙，阻止账户交易，用已知的干净电脑替换会计师的电脑，或阻止网络访问。对于首席执行官、高级经理、普通员工和其他资产类别的工作站，也应制定同样的计划。

发现有可疑活动的系统的调查人员往往要花几天到几周的时间来弄清楚计算机的实际位置，谁拥有它，它在业务流程中的作用是什么，以及对禁用它或收集数据有什么限制。IT和IS团队的工作就是要预先澄清这一点。有的时候，一个系统在会计部门，他们根本不会放弃一个工作站，因为它正在被支付，工作会停止。对于关键系统，如果没有这些系统，公司就无法运作，IT部门应该准备好备用计算机。但通常这些都是不可用的，这就拖延了调查。而在这期间，攻击者可以从公司提取资金或窃取数据。

需要通过渗透测试定期检查计划的相关性。渗透者渗透到会计的电脑中，我们看一下他们可以实施的威胁。我们把它们写在计划中，然后，在发生真实事件时，我们检查入侵者是否实施了这些威胁。你也可以通过进行一种桌面演习，选择一个虚拟的攻击场景进行培训。指定一个可能的场景：计算机被入侵，密码员发生病毒事件或钱被盗。下一步是测试响应计划的功能：是否已经找到了所有的系统所有者，是否已经弄清了与该资产可能的行动顺序，是否所有的参与者都参与了这个过程。这就像在现实生活中一样，但这种做法避免了严重的后果，并提前发现了需要解决的弱点。

分步指示可能是针对已知的事件，如网络钓鱼攻击或加密勒索软件感染。但是，如果不能对可疑活动进行具体分类，一般需要了解

a) 资产在网络的什么地方受到影响、

b) 对这些资产能做什么？

c) 谁对它们负责、

d) 公司内部以及与外部世界的沟通计划、

e) 如何隔离威胁。

计划的重要性怎么强调都不为过，因为事件总是对公司实力的考验，那些没有做好准备的公司会付出高昂的代价，甚至包括业务损失。现实情况是，今天没有任何企业是完全可以防御的，所以事件迟早会发生在每个人身上，你最好为它做好准备。毕竟，一个经过深思熟虑的计划会将混乱和危机转化为清晰而精确的行动算法。

错误#2--未经调查的信息安全事件。

一家公司在受感染的电脑上重新安装操作系统，在 "事件已结束 "的方框内打勾，一周后从账户中损失了一大笔钱。这种情况经常发生--我们不能局限于一半的措施。你需要了解攻击者是如何渗透到网络中的，重建事件的时间线，并确定遏制和消除威胁的措施。否则可能仍有受感染的节点，攻击将通过这些节点继续进行。

错误#3 - 缺乏事件收集基础设施

对公司网络的渗透可能在很久以前就已经发生了，而且没有留下任何痕迹。像任何操作系统一样，Windows会收集事件，但它在本地存储数据，而且时间有限，往往只到操作系统重新启动为止。联网设备的情况更糟糕，它们通常有一个小的内存容量来存储事件。这使得我们不可能知道一台特定的计算机是否在三个月前连接到一个恶意的服务器。

在我们的调查中，十家公司中只有一两家有事件收集基础设施，而SIEM往往只是摆设。这些公司内部没有人检查SIEM是否以正确的格式收集数据。由于集成商实施了它，他们把它留在那里。数据可以存储一天或一个星期，但却没有任何用处。

IT团队使用日志收集和监控系统是他们工作的一部分。这样的系统也很有效，可以在调查中使用。

事件收集的最低要求包括从操作系统和网络设备（防火墙）收集数据，并将这些信息至少存储一年。这将使你能够了解哪些节点被连接到哪里。

储存这些信息对于根据新信息检测事件也很有用。然后，在使用回顾性分析工具时，你可以发现公司在过去是否受到过攻击。这将允许现在就采取行动，而不是在一年后，当敏感信息在最不合适的时候，如公司上市前，突然出现在暗网上。

如果没有事件捕获的基础设施，就不可能从过去获得数据。另外，它还可以节省时间--你不必分析几十台、几百台，有时甚至几千台电脑。但是，最好当然是使用正确配置的、专用的IS解决方案。如果有事件收集工具，如配置正确的SIEM系统，它们可以帮助识别事件，重建时间线并找到攻击者的进入点。有了这样的系统，单个的微观事件就可以被拼凑成一个马赛克。

错误#4 - 缺乏资产信息

在最好的情况下，我们会遇到这样的描述：哪些组件构成了业务系统，哪些人负责它，它解决了什么任务。更多时候，情况更糟。在大多数公司中，资产管理要么根本不存在，要么有关资产的信息是不相关的。你看看三年前的论文，发现它们描述的是一个单一的网络配置，而事实上网络的规模已经翻了一番。在这种情况下，快速和有效的事件响应是不可能的。

在基本层面上，资产管理不需要大量的投资。毕竟，攻击者往往比IT人员更了解公司的基础设施，他们不会使用繁琐的系统。他们花时间研究它，弄清楚什么在工作，如何工作，什么流程在运行，谁与谁相连，以及如何监控。

有一些技术解决方案可以使事情变得更容易，但总的来说，这是关于流程的问题。公司需要了解它的业务流程，而如何跟踪所有的计算机--在Excel中或用SIEM自动跟踪--是一个选择问题。

错误#5 - 缺少文档

这种情况下的文档是部门之间正常互动过程的方案，决定了例如会计人员是否必须登录IT部门的电脑，其余的人是否必须通过个人电子邮件传输文件。描述系统如何互动的技术文档也很重要。例如：文档描述一个组件只与一个模块一起工作，但事实上它与三个模块一起工作。否则，特别是如果了解这一切的IT人员早已辞职，调查人员将追寻与事件无关的线索和可疑事件。而这些历史上形成的或演变而来的互动，在与员工的交谈中已经想通了--例如，员工没有其他工具来分享文件。这就耗费了大量的时间。诚然，如果根本没有员工来帮助理解这些既定的关系，情况就更糟糕了。

错误#6 - 篡改证据

在没有必要的专业知识的情况下，试图调查一个事件，这是一个常见的错误。有的时候，当试图对磁盘进行成像时，错误地进行了操作，并擦拭了证据磁盘。有时我们找到了攻击演变的关键节点，发现所有者已经重新安装了系统，从而删除了对调查至关重要的工件。在某些情况下，当进行内存转储时，不能关闭计算机，否则信息将被破坏。同时，SIEM并不总是拥有它所需要的所有数据。而且，在没有历史拷贝的情况下，往往无法进一步旋转链条。因此，必须有一个严格的计划来正确处理被攻击的主机，其中最重要的一点是在调查开始时就与专门的专家协调所有这些变化。PT Expert Security Center 在这种紧急情况下，试图迅速介入调查，往往甚至在达成任何正式协议之前。

错误#7 - 挑衅入侵者

没有必要的专业知识的员工可能会试图不看就封锁一切，或在通信中威胁黑客，而没有意识到情况有多严重。在这种情况下，黑客有可能开始 "烧毁桥梁"，不仅掩盖了他们的踪迹，而且还损害了公司，例如，为了好玩，对整个基础设施设置一个加密病毒，或 "关闭 "一个关键服务。你需要预测攻击者被发现后的行为，并做好准备。

错误8 - 未吸取的教训

有些公司没有从事件中吸取任何教训。不时有这样的情况：我们调查了一次攻击，确定了时间表，提出了建议，而客户在与我们合作后却什么也没做--没有建立一个监控程序，没有解决漏洞。在夏天，我们帮助消除了黑客的后果，删除了恶意软件，重置了密码，并清理了网络。而到了秋天，情况再次重演。而黑客们回到网络，就像回到他们自己的家一样。上一次，一个政府组织被黑了两次。大多数公司在事件发生后确实实施了保护措施，即使不是立即实施。如果一个网络不断受到攻击，安全部门没有另外一个月的时间来修复第一次被利用的关键漏洞。重复发生的事件会更快发生。

错误#9 - 提醒攻击者

如果电子邮件系统被破坏，信息安全服务部门处理邮件中的信件，黑客可以监视所有的对策。他要么低调行事，消除痕迹，使调查更加困难，要么实施破坏性的行动（见错误#7），公司将不再有时间调查。这正是曾经发生的事情，在一次调查中，一位管理员通过桌面版Telegram与我们的工作电脑进行了通信。黑客们能够监控聊天，并主动出击，这使本来就很困难的调查变得更加复杂，直到管理员的电脑被攻破，我们改变了通信渠道。

在发生事故的情况下，有必要拥有不连接到公司基础设施的备份通信渠道，使用同样的Telegram或WhatsApp，但只能从受信任的设备上进行。你要清楚--如果你的整个网络被入侵，你就不再是控制者了，你需要仔细思考调查的每一步。

错误#10 - 僵尸事件

在调查和补救之后，问题可能不会结束。一个已经被破坏的六个月前的图像从备份中恢复，攻击者有了意外的礼物，恢复了对内部网络的访问。这种情况很少见，但它对公司的打击很大。因此，你不仅要注意你目前的基础设施，还要注意你的归档和备份系统。在一段时间内，甚至在事件被调查后，观察被破坏的迹象是一个好主意。僵尸事件的发生不仅与备份系统有关，而且还与调查时不在的资产的到来有关。例如，一个人去度假了，他们的电脑没有被检查。或者电脑正在维修中。电脑上的后门被激活，而没有人清理它。在这种情况下，只有建立一个完善的监控系统，并在调查结束后实施所有建议，才有可能及时做出反应。

调查事件的主要任务看起来很简单--刨根问底，重建事件的时间顺序，找到源头，阻止威胁。但是，如果一个公司没有建立起识别和处理事件的最低限度的基础设施，或者在没有合适的专业知识的情况下开始应对，就不一定能够提供帮助。因此，最好提前做好准备，迎接网络犯罪分子。