Enterprise Malware Management - Kryminalistyka Informatyczna
Dzial kryminalistyki informatycznej W departamentach IT bardzo czesto zajmuje sie badaniem i obsluga incydentów, które powstaja z powodu niedbalstwa lub przeoczenia administratorów, a nastepnie prowadza do ataków takich jak drive-by-downloads czy APT, w skutek niewiedzy uzytkownika koncowego. Celem zarzadzania incydentami bezpieczenstwa informacji jest zapewnienie ciaglosci dzialania systemu, a caly proces sklada sie z 6 etapów.
- Planowanie i przygotowanie
- Identyfikacja
- Powstrzymywanie
- Likwidowanie
- Odzyskiwanie
- Kontrola
Indicator of Compromise (Wskaznik kompromisu)
Informacje o zagrozeniach istnieja od wielu lat, ale dopiero od niedawna sa uzywane przez srodowisko bezpieczenstwa w sposób bardziej strukturalny i konsekwentny. Organizacje odchodza juz od tradycyjnego sposobu obslugi incydentu bezpieczenstwa typu czekanie na powiadomienie o incydencie i odpowiedz na niego. Nowatorskie podejscie zaleca do podjecia aktywnych dzialan do zwalczania malware w celu zabezpieczenia calej infrastruktury informatycznej i w tej nowej strategii IOC odgrywa kluczowa role. Gdy ktos skompromituje system, pozostawia slady po sobie, które moga byc wykorzystane do identyfikacji zagrozen lub hakera.
OpenIOC jest to open source framework, który zostal opracowany przez firme Mandiant w celu udostepnienia informacji o zagrozeniach. Moze byc stosowany w celu poprawy niezawodnosci i powtarzalnosci procesu dochodzenia poprzez wprowadzenie standardu dokumentacji, który moze zostac uzyty w raporcie dochodzenia. Jako ze raport jest zapisany w formacie XML moze zostac wykorzystany w przeprowadzeniu kontroli czyli etapie 6 (tabela1). Inne rodzje podobnych projektów to stworzony przez IETF Working Group, który definiuje dwa standardy. Pierwszy opisuje obserwacje incydentów bezpieczenstwa w IODEF (Incident Object Description Exchange Format) opisany w RFC570. Drugi jest to Real-Time Inter Network Defence (RID) opisany w RFC6545, który jest uzyty do wymiany IODEF informacji. Kolejnymi projektami sa CyboX, STIX i TAXII firmy Mitre.
Mandiant Redline – analiza pamieci
Narzędzie Redline firmy Mandiant pozwala na analizę pamięci operacyjnej, potencjalnie zainfekowanego systemu operacyjnego Windows, w celu znalezienia śladów działania złośliwego oprogramowania. Redline pozwala na:
- Zbieranie informacji o procesach, danych z rejestru oraz zrzutów pamięci.
- Przeglądanie zaimportowanych danych.
- Identyfikacje procesów, które są podejrzane i warte poddania próbie analizy opartej o Malware Risk Index (MRI).
- Wykonania analizy Indicators of Compromise (IOC).
- Używania whitelist w celu odfiltrowania false/positive w oparciu o hasze MD5.