Як оцінити, чи стався витік даних, і які докази зібрати для форензики?
Оцінка витоку даних це не лише перевірка, чи з’явилися дані в даркнеті або на сторонніх ресурсах. Це комплексний процес, який починається з аналізу підозрілих дій і аномальної активності в системах вашої компанії. Основні ознаки витоку включають:
Незвичні завантаження та експорт даних з платформ, таких як Microsoft 365, SharePoint, Google Drive чи CRM-системи. Якщо користувачі або додатки здійснюють масові завантаження, це може вказувати на спробу витягнення важливої інформації.
Підозрілі OAuth-додатки, які можуть мати доступ до ваших даних без належного дозволу, або створення forwarding rules в пошті, що автоматично пересилають ваші листи на сторонні адреси. Також важливими сигналами є “impossible travel”, коли входи з різних географічних локацій відбуваються за неможливий період часу, або масові доступи до ресурсів з підозрілих акаунтів.
Аномальний вихідний трафік: якщо дані масово вивантажуються або передаються через незвичні канали, це може бути ознакою витоку. Наприклад, використання інструментів для передачі даних, таких як rclone або megasync, може вказувати на спроби витягти велику кількість інформації.
Що потрібно зібрати для розслідування:
Логи автентифікації (успішні/невдалі входи), події MFA (многофакторної автентифікації), зміни ролей та привілеїв в системах.
Audit logs з таких сервісів як M365, Active Directory (AD), VPN, а також логи поштових правил і делегування доступів.
EDR телеметрія, яка містить дані про активні процеси, служби, з’єднання та інші потенційно шкідливі дії.
Артефакти, такі як хеші файлів, зразки шкідливого ПЗ, скріншоти повідомлень, що містять шкідливі URL або дані.
Чіткий журнал дій: хто, коли і що збирав. Це дозволить не тільки точно відтворити картину подій, але й відповідати на вимоги щодо збереження доказів (chain of custody).
Наявність цих даних дає змогу детально дослідити витік, зрозуміти його масштаби, а також визначити джерела та методи атаки.