Одной из важнейших задач, которая стоит перед любым среднем и крупным бизнесом является защита своей конфиденциальной информации от злоумышленников. Однако далеко не во всех компаниях ИТ-инфраструктура и процессы в ней выстроены в соответствии с современными эталонами безопасности. В случае, когда предприятие уделяет недостаточно внимания своей ИБ, значительно увеличиваются риски несанкционированного проникновения в ИТ-системы.
В данном кейсе мы опишем как провели расследование инцидента информационной безопасности предприятия.
Исходные данные
По рекомендации одного из партнёров к нам обратилась компания с запросом услуги расследования инцидента ИБ. Служба безопасности предприятия заметила утечку конфиденциальных данных, но было непонятно, кто именно и каким образом проник в ИТ-инфраструктуру организации.
На первом этапе клиент запросил консультацию, в ходе которой были оговорены все нюансы проведения расследования — план работ, необходимые доступы, примерный срок выполнения и предоставляемый в итоге отчёт.
Задача
Провести детальное расследование инцидента, вычислить злоумышленника, зафиксировать все свидетельства проникновения и неправомерных действий в системе, а также подготовить юридическую документацию для обращения по данному нарушению в государственные органы.
Реализация
Клиент предоставил нам удаленный доступ к своей ИТ-инфраструктуре через одно из рабочих мест. Утечка данных наблюдалась из корпоративной почтовой переписки. Поэтому помимо доступов служба безопасности компании передала нам список почтовых ящиков, чья переписка могла быть доступна злоумышленнику. Также клиент обозначил предположительное время инцидента.
Было проведено исследование почтового сервера компании и маршрутизатора. По результату проверки определено, что на маршрутизаторе некорректно настроен Firewall, а также некоторые сервисы находились в открытом доступе.
Благодаря проведенному исследованию удалось установить каким способом злоумышленник вошел в систему. Было выявлено, что проникновение реализовано через внешний сервис, и нашему эксперту удалось конкретизировать, какой именно. Мы собрали информацию по проникновению и зафиксировали все ключевые моменты.
Результаты
- 1Проведено тщательное расследование инцидента информационной безопасности, выявлены злоумышленник, его мотив и способ проникновения в систему;
- 2В ходе исследования систем клиента выявлены и устранены все критические уязвимости;
- 3Для клиента подготовлен полный отчет о проведенной работе, предоставлены все необходимые заверенные свидетельства в бумажном виде и подготовлены юридические документы для дальнейшего обращения в государственные органы по факту правонарушения;
- 4Дополнительно мы нашли информацию по Exchange серверу и провели инструктаж для ИТ-отдела клиента, чтобы у них была возможность предоставлять и ограничивать права доступа сотрудников к почтовым ящикам.
