ЕФЕКТИВНІ РІШЕННЯ ДЛЯ ШВИДКОГО ВИЯВЛЕННЯ СКОМПРОМЕТОВАНИХ ПК В ІНФОКОМУНІКАЦІЙНИХ МЕРЕЖАХ

Анотація

Останнім часом все більш актуальною є необхідність вирішення завдань в умовах обмежених часових ресурсів. Це може бути наприклад мережева атака на корпоративні ресурси компанії, внаслідок якої невідома кількість ПК була скомпрометована, при повному ігноруванні з боку антивірусного захисту та системою запобігання вторгнень, що в свою чергу накладає значне обмеження за часом, оскільки потрібно швидко встановити «ступінь зараженості» кожного окремого ПК і ізолювати його від інших комп’ютерів інфокомунікаційної мережі. В такому випадку традиційний forensic-аналіз цифрових слідів, зібраний за допомогою Forensic Triage буде занадто довгим. Коли в звичайних умовах ці завдання виконували відомі програми і цього часу було достатньо, зараз постає питання, як пришвидшити "виконання" завдань, якщо конкурентних аналогів для програми не має? Тому виникає необхідність в додаткових можливостях, які б зменшили час виконання програми для вивантаження цифрових артефактів при збереженні достатньої ефективності. Або ж зменшили час роботи аналітика ІБ на аналіз одного ПК, що дасть йому змогу перевірити більше ПК за одиницю часу. Метою дослідження є обґрунтування ефективних рішень для зменшення часу аналітика інформаційної безпеки на виявлення зараженості конкретного ПК інфокомунікаційної мережі у якості «заражено/не заражено». У роботі визначено компонент/тактику, без яких сучасні комп’ютерні віруси зазвичай не працюють. Запропоновано перелік програм для швидкого виявлення вірусів і скрипт оптимізації з використанням реляційної таблиці артефактів, які дозволяють скоротити кількість елементів, необхідних для подальших досліджень більш ніж у десять разів. Це допомагає ІТ-аналітикам істотно заощадити час на виявлення зараженості конкретного ПК інфокомунікаційної мережі у якості «заражений/не заражений».

Ключові слова: інформація; кібербезпека; форензіка; цифрові сліди; Windows; MITRE; автозапуск; віруси.