Расследование IT-инцидентов: пошаговое руководство к действию

В компаниях случаются компьютерные инциденты различных типов. Это может быть фишинг в почте или в Телеграме, уничтожение или шифрование данных, распространение вредоносного кода или что-то еще. Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, рассказывает о том, как облегчить себе жизнь во время подобных инцидентов. Денис объясняет: • зачем расследовать инцидент; • как классифицировать инцидент; • кто нужен, чтобы расследовать инцидент; • как понять, нанесен ли ущерб. Нужно учитывать, что каждый случай уникален, и именно глубина понимания и готовность к нестандартным решениям определяют успех в борьбе с киберпреступностью. Сфокусируйтесь на быстром выявлении и расследовании инцидентов, и это реально будет вашей важной миссией. Таймкоды: 0:00 Тизер 0:20 Приветствие 0:35 Типы инцидентов в компании и FIRST 0:50 FIRST предоставляет готовую классификацию инцидентов 1:01 CSIRT/SOC/CERT 1:10 Зачем расследовать инцидент? 1:42 Пример инцидента и неверного реагирования 1:58 Кто нужен, чтобы расследовать инцидент? 2:20 Есть курсы по расследованию инцидентов и сертификация 2:40 Сделай краткую готовую схему действий во время инцидента 3:25 Выключать системы или оставить включенными? 3:49 Триаж компьютерного инцидента требует сбора данных 4:35 Готовьтесь к инцидентам заранее 4:45 Поддерживайте актуальную схему сети 4:53 Запустите проект по сегментации сети 5:21 Используйте NTA для анализа внутреннего трафика 5:33 Запрещайте ненужные протоколы и ненужные подключения 5:50 BCP/DRP и CISSP 6:13 Создайте готовые схемы действий на случай критических ситуаций 6:29 Важность резервного ЦОД 6:44 Киберучения помогают подготовить персонал 7:02 Сколько и какие события собирать 7:36 Не нужно отправлять все абсолютно журналы в SIEM. 8:06 Используйте EDR и XDR для помощи в расследованиях 8:26 Утилиты для сбора информации grr, ptdumper, ptscanner 8:49 SOAR/IRP помогают расследовать инциденты 9:02 Важно понимать что является ущербом 10:06 Этап сбора информации, чтобы выполнить триаж 11:15 Плейбуки реагирования Societe General 11:27 Восстановление инфраструктуры 12:07 Привлечение внешнего подрядчика 12:30 Уволят ли безопасника после инцидента? 12:41 Due diligence и due care 13:05 Типовые трудности в расследовании 13:36 Документируйте ваши действия и процессы 13:53 7 шагов расследования инцидентов 14:22 Важно иметь опытную команду 14:42 Пишите в комментариях вопросы