Работа киберкриминалиста обычно начинается там, где хакеры достигли успеха: отправной точкой является киберинцидент. В большинстве случаев мы работаем после того, как злоумышленники уже выполнили какие-то действия, и теперь нужно получить ответы на ряд практических вопросов, в том числе закрыть уязвимости, оценить ущерб, изобличить злоумышленников, если такое представляется возможным.
Лада Антипова, эксперт по реагированию на инциденты Центра киберустойчивости Angara SOC, рассказала о старте карьеры в DFIR, о рабочей рутине, полезных ресурсах для погружения в тему. Это стартовая публикация о работе нашей команды киберкриминалистов. Дальше - больше!
«Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR) – специализированная область, охватывающая выявление, устранение и расследование инцидентов кибербезопасности (Incident Response, IR), в том числе с применением криминалистических практик (Digital Forensics, DF). Нас, специалистов в DFIR, называют «респондерами», иногда «форензиками», но в данном случае эти понятия могут быть равнозначными, главное - понимать суть.
Наша работа позволяет заказчику дать ответ на главный вопрос: «Как это произошло и что важно сделать в моменте?», в том числе чтобы ИБ-специалисты компании могли исключить новые киберугрозы по подобной схеме. Иногда приходится искать ответы на другие вопросы, например: «Произошло ли что-то, и что именно?» – выясняя, куда именно получили доступ киберпреступники, чтобы более точно оценить непосредственный ущерб от киберпреступления и связанные с ним репутационные риски. Наконец, третье направление деятельности киберкриминалиста – способствовать поимке и изобличению киберпреступников.
08.08.2023