Analýza událostí

Pro správnou reakci na bezpečnostní incident jsou potřeba přesné informace o jeho průběhu. Konkrétní otázky lze zodpovědět na základě forenzní analýzy napadených systémů. Odpovědi pak mohou následně posloužit zejména k objasnění vektoru útoku (šíření malware), prokázání porušování směrnic a provozních řádů uživatelem nebo zmapování nakládání se specifikovanými dokumenty.

Výsledky analýzy pomohou bezpečnostním manažerům, týmům typu CSIRT a administrátorům systémů při zvládání bezpečnostního incidentu a minimalizaci jeho následků.

Analýza událostí je reakcí na již probíhající nebo proběhlý bezpečnostní incident. První kroky analýzy (zajištění dat) by měly být provedeny co nejdříve po zjištění bezpečnostního incidentu, protože s postupem času mohou elektronické stopy zanikat. Většina zmizí v řádu hodin až dní, ale u některých druhů incidentů jsou relevantní stopy přítomné v rozumném množství i několik týdnů až měsíců od zkoumané události.

Při typickém průběhu analýzy

• vám poskytneme úvodní konzultaci,
• pomůžeme formulovat otázky,
• poskytneme podporu při zajišťování dat,
• zanalyzujeme průběh incidentu,
• nalezneme odpovědi na Vaše otázky,
• zdokumentovaný postup a závěry předáme formou závěrečné zprávy.

V poskytnutých vstupních datech budou nalezeny odpovědi na položené otázky.

Analýzou můžete například získat odpovědi na otázky,

• zda se v zařízení vyskytuje nebo vyskytoval specifikovaný dokument,
• zda v zařízení jsou nebo byly nainstalovány specifikované aplikace,
• zda bylo manipulováno s dokumenty (kdo je kdy změnil, kopírování na USB, …),
• zda bylo přístupováno k chráněným souborům,
• jaké soubory a programy byly naposledy používány,
• jaké řetězce uživatel vyhledával,
• jaké webové stránky uživatel navštívil,
• jaké emaily byly odeslány a přijaty,
• k jakým bezdrátovým sítím bylo přistupováno,
• zda byla provedeny pokusy o zahlazení stop (antiforenzní techniky),
• týkajících se systémových informací (počet startů a vypnutí, spouštěné aplikace, …),
• jaké je historie připojovaných USB zařízení,
• jaké programy byly spouštěny – kdy, kolikrát, jaké knihovny přitom byly použity.

Tento výčet rozhodně není konečný. Stačí aby indicie k odpovědi byly přítomny ve zkoumaných digitálních datech.

Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie Analýza malware pro CSIRT.

Řešíte závažný bezpečnostní incident a potřebujete znát detailní informace o jeho průběhu? Kontaktujte nás, domluvíme si vše potřebné. Můžete se také podívat na popis dalšího postupu.

Zde jsou uvedeny odpovědi na časté otázky týkající se analýzy událostí. Můžete si také přečíst otázky a odpovědi k dalším tématům.

Ano, typicky jsou analyzovány podezřelé přílohy podvodných e-mailů, nalezené spustitelné soubory a obfuskované skripty.

Vždy záleží na objemu zpracovávaných dat a také na otázkách, na které je potřeba hledat odpovědi. Typická analýza bezpečnostního incidentu zabere cca dva týdny. Nejrychlejší případ byl analyzován za méně než jeden týden, nejnáročnější případ včetně analýzy nalezeného malware zabrala téměř tři měsíce.