Як організувати збір логів і збереження доказів (chain of custody) під час інциденту?
Під час кіберінциденту важливо не лише зупинити атаку, а й правильно зафіксувати все, що відбувається. Якщо докази зібрані хаотично або без фіксації, вони можуть бути непридатними для розслідування, юридичної оцінки чи роботи зі страховою. Саме для цього існує поняття chain of custody — контрольований ланцюжок збереження доказів від моменту збору до аналізу.
1. Визначити єдине сховище доказів. Це має бути окремий захищений ресурс (наприклад, окремий сервер, зашифрований диск або захищене хмарне сховище), доступ до якого мають лише визначені особи. Важливо одразу обмежити доступ за принципом мінімальної необхідності, щоб уникнути випадкових змін або втрати даних.
2. Задокументувати кожен зібраний артефакт. Для будь-якого логу, дампу чи файлу має бути зрозуміло: з якої системи він отриманий, у який час, ким саме, за допомогою якого інструменту і в якому вигляді. Для критичних файлів бажано одразу зафіксувати контрольні суми (hash), щоб у майбутньому можна було довести, що файл не змінювався після збору. Це особливо важливо, якщо інцидент може мати юридичні наслідки.
Зібрані логи, образи дисків або дампи пам’яті зберігаються “як є”, без жодних змін. Для аналізу створюються копії, з якими вже працюють спеціалісти. Такий підхід дозволяє у будь-який момент повернутися до первинних даних і підтвердити їхню автентичність.
Паралельно необхідно вести журнал дій (timeline інциденту). У ньому фіксується все, що відбувається під час реагування: ізоляція систем, зміни доступів, перезапуски серверів, блокування акаунтів, оновлення правил безпеки. Без цього журналу з часом стає неможливо відрізнити дії зловмисника від дій команди реагування, що сильно ускладнює розслідування.
Критично важливо уникати поспішних “чисток”. Видалення файлів, перевстановлення систем або “прибирання слідів” до збору ключових артефактів може безповоротно знищити докази. Навіть якщо здається, що проблема очевидна, спочатку потрібно зафіксувати стан системи, а вже потім переходити до очищення та відновлення.
У підсумку, правильно організований збір логів і збереження доказів дає змогу точно відновити картину інциденту, приймати обґрунтовані технічні рішення, коректно комунікувати з клієнтами та регуляторами і, за потреби, мати доказову базу для юридичних або страхових процесів.