Расследование инцидентов информационной безопасности

Из каких этапов состоит реагирование и расследование киберинцидентов и что делать на каждом этапе, какие методы и инструменты использовать для сбора доказательств и восстановления инфраструктуры? 00:00 - Вступление 02:00 - Обсуждение подходов к расследованию и реагированию на инциденты информационной безопасности • Подготовка инфраструктуры, формирование планов реагирования. 06:34 Расследование и реагирование на инциденты • Обсуждение последовательности этапов расследования: подготовка, детектирование, реагирование, расследование, восстановление и обучение. 11:00 Разнообразие подходов к реагированию на инциденты 14:32 Подготовка к реагированию на инциденты • Анализ информации о компании, периметре и доменах, чтобы определить возможные пути проникновения хакеров. 18:35 Мониторинг источников и подготовка к инцидентам • Услуги по мониторингу источников в дарквебе и подготовке к возможным инцидентам. 22:03 Состав команды информационной безопасности 23:32 Этапы реагирования на инциденты 30:40 Взаимодействие с внешними экспертами, PR и правоохранительными органами 34:10 Восстановление информации после кибератаки • Возможности предоставления информации правоохранительным органам и важности взаимодействия с ними для проведения расследования и наказания виновных. 35:17 Сложности реагирования на атаки 37:16 Сбор информации об инциденте и ее анализ 40:02 Важность сотрудничества и одного человека для предотвращения атаки 41:16 Процесс реагирование на инциденты 44:52 Цифровая криминалистика 50:44 Делегирование и обучение команды для расследование инцидентов • Автоматизация процесса обучения и обмена знаниями может улучшить результаты команды. 52:14 Взаимодействие с комьюнити • Фидами занимаются отдельные команды, которые взаимодействуют с аналитиками вредоносного кода. • Обмен информацией часто происходит в чатах и личном общении. 59:19 Работа с комьюнити и создание фреймворка 01:01:41 Работа с целевыми атаками 01:11:00 Взаимодействие с хакерами • Опыт общения с хакерами, как важно не спугнуть злоумышленника и не спровоцировать его на активные действия. 01:15:34 Выбор между полной остановкой бизнеса и изоляцией • Бизнесу необходимо выбирать между полной остановкой и изоляцией, учитывая возможные финансовые потери и репутационные ущербы. 01:16:53 Обсуждение расследования инцидентов • Расследование инцидентов может быть сложным и длительным процессом, требующим много времени и усилий. 01:18:41 Важность обращение в правоохранительные органы 01:21:37 Поиск конечных злоумышленников 01:23:35 Советы для жертв кибератаки • Не паниковать, собирать информацию и артефакты, не предпринимать поспешных действий, взаимодействовать с юристами и предоставить отчет в правоохранительные органы для защиты интересов компании. 01:28:29 Аутсорсинг реагирования на инциденты 01:33:06 Правильная оценка ситуации • Оценить масштабы инцидента, риски и возможные потери. • Изолировать атакующих и начать восстановление. 01:37:20 Действия при внутреннем злоумышленнике • Собрать антикризисный комитет и принять экстренные решения. Сделать снапшоты и собрать логи для расследования. 01:41:17 Обсуждение бюджетов и репутационных ущербов 01:47:33 Доказательства и необходимость идентификации злоумышленников 01:49:53 Обсуждение важности устранения последствий инцидентов 01:52:41 Создание группы реагирования • Использование инструментов и лайфхаков для расследования инцидентов, а также использование внешних специалистов и сервисов. 02:01:51 Инструменты для расследования и реагирования на инциденты 02:07:20 Использования машинного обучения и искусственного интеллекта • Применение ИИ в расследовании и реагировании на инциденты. Искусственный интеллект может быть полезен для обучения и анализа данных, но пока не может заменить людей. 02:13:01 Перспективы использования искусственного интеллекта • Искусственный интеллект может быть полезен для оптимизации ресурсов и рутинной деятельности, но не для решения сложных задач. 02:15:14 Прогнозы и рекомендации Модераторы: - Анна Олейникова, директор по продуктам, Security Vision Спикеры: - Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского» - Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности, Positive Technologies (PT Expert Security Center) - Антон Величко, руководитель лаборатории криминалистики и исследования вредоносного кода, . - Максим Суханов, ведущий эксперт CICADA8, МТС RED - Алексей Семенычев, руководитель направления экспертных сервисов и анализа киберугроз Центра компетенций ИБ, Группа компаний «Гарда» - Илья Зуев, независимый эксперт в ИБ Всегда актуальные новости: Подписывайтесь на наши социальные сети: Телеграм-канал По вопросам рекламы: sales@