Команда молодежной лаборатории исследования безопасности кода отечественного ПО и компьютерной криминалистики Новосибирского государственного технического университета (НГТУ) НЭТИ впервые разработала утилиту для Linux-подобных систем, в частности Astra Linux — ключевого ИТ-решения ведущего российского вендора инфраструктурного ПО «Группы Астра». Идея запуска проекта принадлежит НГТУ и обусловлена актуальностью автоматизации рутинных процессов расследования киберинцидентов в связи с высокой распространенностью ОС семейства Linux. Это значительно сократит временные затраты и минимизирует влияние человеческого фактора на первичные этапы Live-анализа данных.
Утилита для ОС Astra Linux позволяет собирать не только стандартные журналы Unix-систем, но и журналы механизмов защиты информации, входящих в состав подсистемы безопасности. Такая особенность программы позволяет получать больше данных о состоянии ОС и действиях внутри нее. Уже на стадии первичного сбора артефактов и цифровых свидетельств нежелательных ИБ-событий специалисты планируют получить максимум информации из пораженной системы.
Одно из ключевых преимуществ утилиты — использование универсального для Linux-систем языка командной оболочки Bash. Это дает возможность специалистам начать работу с программой без предварительной установки дополнительных компонентов и зависимостей.
Свою разработку для расследования компьютерных инцидентов университет тестировал в «Астра-лаборатории», открытой «Группой Астра» на базе кафедры защиты информации факультета автоматики и вычислительной техники НГТУ НЭТИ в апреле 2024 года. Новая лаборатория позволяет обучать студентов и специалистов, применяя передовые отечественные информационные технологии. Здесь проводятся инженерные и научные работы в интересах индустриального партнера и отрасли в целом по ряду актуальных направлений, в числе которых – изыскания в области анализа защищенности отечественных операционных систем, повышения безопасности беспроводных сетей, а также адаптации процессов обеспечения информационной безопасности для информационных систем, построенных на отечественных решениях.
НГТУ НЭТИ в рамках развития проекта по разработке утилит планирует создание полного комплекса программ для последующего анализа получаемых артефактов. Это будет особенно актуально в области компьютерной криминалистики.
«Наше тесное сотрудничество с НГТУ НЭТИ – одним из ведущих вузов по подготовке ИТ-кадров — открывает возможности для ускоренного качественного перехода национальной ИT-инфраструктуры на российский софт. Они заключаются не только в системной подготовке специалистов в области информационных технологий, но и в создании продуктов по обеспечению кибербезопасности используемых ИТ-решений. Пример тому — утилита, разработанная университетом для ОС Astra Linux. Мы благодарны коллегам за инициативу и реализацию проекта, закрывающего нашу потребность в удобном инструменте для расследования цифровых инцидентов», — поделился своей позицией относительно взаимодействия с НГТУ НЭТИ Алексей Трубочев, директор департамента сопровождения и сервисов «Группы Астра».
«НГТУ НЭТИ в данный момент находится в процессе перехода на Astra Linux — основной продукт «Группы Астра», ведущего разработчика инфраструктурного ПО и нашего давнишнего партнера в рамках ИТ-обучения. Миграция на ОС — один из факторов, которые повлияли на возникновение идеи разработать утилиту. Второй — потребность вендора в программе получения цифровых доказательств нежелательных ИБ-событий. Все это удачным образом совпало с тем, что у нас уже есть площадка для комфортной работы над проектом. Мы уже зарегистрировали в ФИПС первый экземпляр утилиты для сбора цифровых свидетельств с операционных систем Astra Linux и теперь формализуем подход к расследованию компьютерных атак и инцидентов на отечественных решениях с применением лучших международных практик, — рассказал Иван Никрошкин, руководитель молодежной лаборатории НГТУ НЭТИ. — Кроме работы со стандартными образами, дампами и журналами, мы уделяем особое внимание встроенным механизмам защиты, позволяющим в значительной мере обогатить получаемые данные. Фактическая наша задача — пройтись по процессу расследования инцидентов информационной безопасности, и чем больше найдется проблем, тем больше будет набор утилит».
