Зачем же нужно расследование как таковое, ведь многие организации уже имеют большой парк средств защиты, выявления инцидентов и реагирования на них? Ответ прозаичен и прост: к сожалению, в условиях развитости атак не все из них можно остановить на уровне границ периметра. В результате не достаточно выявить атаку внутри сети, нужно понять, как она развивалась, каким образом воздействует на корпоративную инфраструктуру и что способствовало ее развитию. Большинство средств защиты, специализирующихся на противодействии угрозам, не имеют функционала проведения глубоких расследований. И такие решения, как SIEM, нацелены на оперативное информирование об инциденте и факте его выявления, при этом не предоставляя средств и данных для анализа выявленных инцидентов. Встает вопрос, как службам ИТ и ИБ оперативно провести расследования выявленных инцидентов?

При расследовании вредоносной активности внутри инфраструктуры ответственные за это сотрудники ищут ответы на следующие вопросы:

• Кто виноват в возникновении инцидента?
• Как он был реализован?
• Какие системы, ресурсы, пользователи и данные скомпрометированы?
• Где доказательства, что все закончилось?
• Есть ли уверенность, что это не повторится?

Для получения ответов на поставленные вопросы требуются согласованные действия служб ИТ и ИБ при сборе и анализе данных, являющихся доказательной базой при расследовании. В результате процесс расследования инцидента информационной безопасности в организации включает два этапа: сбор необходимой для анализа информации и собственно расследование с анализом собранных данных. Опытные злоумышленники или сотрудники с привилегированными правами могут за минуты уничтожить следы своей негативной активности, что приводит к резкому увеличению времени, необходимого для расследования.

< ... >