НГТУ НЭТИ: Утилита по сбору цифровых свидетельств кибератак для Linux-подобных систем

Основная статья: Управление данными (Data management)

2025: Разработка утилиты для Linux-подобных систем

Команда молодежной лаборатории исследования безопасности кода отечественного ПО и компьютерной криминалистики Новосибирского государственного технического университета (НГТУ) НЭТИ разработала утилиту для Linux-подобных систем, в частности Astra Linux. Об этом университет сообщил 12 февраля 2025 года. Идея запуска проекта принадлежит НГТУ и обусловлена актуальностью автоматизации рутинных процессов расследования киберинцидентов в связи с высокой распространенностью ОС семейства Linux. Это значительно сократит временные затраты и минимизирует влияние человеческого фактора на первичные этапы Live-анализа данных.

Утилита для ОС Astra Linux позволяет собирать не только стандартные журналы Unix-систем, но и журналы механизмов защиты информации, входящих в состав подсистемы безопасности. Такая особенность программы позволяет получать больше данных о состоянии ОС и действиях внутри нее. Уже на стадии первичного сбора артефактов и цифровых свидетельств нежелательных ИБ-событий специалисты планируют получить максимум информации из пораженной системы.

Одно из ключевых качеств утилиты — использование универсального для Linux-систем языка командной оболочки Bash. Это дает возможность специалистам начать работу с программой без предварительной установки дополнительных компонентов и зависимостей. Партнерство под крылом «Колибри-АРМ»

Свою разработку для расследования компьютерных инцидентов университет тестировал в «Астра-лаборатории», открытой «Группой Астра» на базе кафедры защиты информации факультета автоматики и вычислительной техники НГТУ НЭТИ в апреле 2024 года. Лаборатория позволяет обучать студентов и специалистов, применяя отечественные информационные технологии. Здесь проводятся инженерные и научные работы в интересах индустриального партнера и отрасли в целом по ряду актуальных направлений, в числе которых – изыскания в области анализа защищенности отечественных операционных систем, повышения безопасности беспроводных сетей, а также адаптации процессов обеспечения информационной безопасности для информационных систем, построенных на отечественных решениях.

НГТУ НЭТИ в рамках развития проекта по разработке утилит планирует создание полного комплекса программ для последующего анализа получаемых артефактов. Это будет особенно актуально в области компьютерной криминалистики.

Наше тесное сотрудничество с НГТУ НЭТИ открывает возможности для ускоренного качественного перехода национальной ИT-инфраструктуры на российский софт. Они заключаются не только в системной подготовке специалистов в области информационных технологий, но и в создании продуктов по обеспечению кибербезопасности используемых ИТ-решений. Пример тому — утилита, разработанная университетом для ОС Astra Linux. Мы благодарны коллегам за инициативу и реализацию проекта, закрывающего нашу потребность в удобном инструменте для расследования цифровых инцидентов», — поделился своей позицией относительно взаимодействия с НГТУ НЭТИ Алексей Трубочев, директор департамента сопровождения и сервисов «Группы Астра».

НГТУ НЭТИ на февраль 2025 года находится в процессе перехода на Astra Linux. Миграция на ОС — один из факторов, которые повлияли на возникновение идеи разработать утилиту. Второй — потребность вендора в программе получения цифровых доказательств нежелательных ИБ-событий. Все это удачным образом совпало с тем, что у нас уже есть площадка для комфортной работы над проектом. Мы уже зарегистрировали в ФИПС первый экземпляр утилиты для сбора цифровых свидетельств с операционных систем Astra Linux и теперь формализуем подход к расследованию компьютерных атак и инцидентов на отечественных решениях с применением лучших международных практик, — рассказал Иван Никрошкин, руководитель молодежной лаборатории НГТУ НЭТИ. — Кроме работы со стандартными образами, дампами и журналами, мы уделяем особое внимание встроенным механизмам защиты, позволяющим в значительной мере обогатить получаемые данные. Фактическая наша задача — пройтись по процессу расследования инцидентов информационной безопасности, и чем больше найдется проблем, тем больше будет набор утилит.