Из каких этапов состоит реагирование и расследование киберинцидентов и что делать на каждом этапе, какие методы и инструменты использовать для сбора доказательств и восстановления инфраструктуры?
00:00 - Вступление
02:00 - Обсуждение подходов к расследованию и реагированию на инциденты информационной безопасности
• Подготовка инфраструктуры, формирование планов реагирования.
06:34 Расследование и реагирование на инциденты
• Обсуждение последовательности этапов расследования: подготовка, детектирование, реагирование, расследование, восстановление и обучение.
11:00 Разнообразие подходов к реагированию на инциденты
14:32 Подготовка к реагированию на инциденты
• Анализ информации о компании, периметре и доменах, чтобы определить возможные пути проникновения хакеров.
18:35 Мониторинг источников и подготовка к инцидентам
• Услуги по мониторингу источников в дарквебе и подготовке к возможным инцидентам.
22:03 Состав команды информационной безопасности
23:32 Этапы реагирования на инциденты
30:40 Взаимодействие с внешними экспертами, PR и правоохранительными органами
34:10 Восстановление информации после кибератаки
• Возможности предоставления информации правоохранительным органам и важности взаимодействия с ними для проведения расследования и наказания виновных.
35:17 Сложности реагирования на атаки
37:16 Сбор информации об инциденте и ее анализ
40:02 Важность сотрудничества и одного человека для предотвращения атаки
41:16 Процесс реагирование на инциденты
44:52 Цифровая криминалистика
50:44 Делегирование и обучение команды для расследование инцидентов
• Автоматизация процесса обучения и обмена знаниями может улучшить результаты команды.
52:14 Взаимодействие с комьюнити
• Фидами занимаются отдельные команды, которые взаимодействуют с аналитиками вредоносного кода.
• Обмен информацией часто происходит в чатах и личном общении.
59:19 Работа с комьюнити и создание фреймворка
01:01:41 Работа с целевыми атаками
01:11:00 Взаимодействие с хакерами
• Опыт общения с хакерами, как важно не спугнуть злоумышленника и не спровоцировать его на активные действия.
01:15:34 Выбор между полной остановкой бизнеса и изоляцией
• Бизнесу необходимо выбирать между полной остановкой и изоляцией, учитывая возможные финансовые потери и репутационные ущербы.
01:16:53 Обсуждение расследования инцидентов
• Расследование инцидентов может быть сложным и длительным процессом, требующим много времени и усилий.
01:18:41 Важность обращение в правоохранительные органы
01:21:37 Поиск конечных злоумышленников
01:23:35 Советы для жертв кибератаки
• Не паниковать, собирать информацию и артефакты, не предпринимать поспешных действий, взаимодействовать с юристами и предоставить отчет в правоохранительные органы для защиты интересов компании.
01:28:29 Аутсорсинг реагирования на инциденты
01:33:06 Правильная оценка ситуации
• Оценить масштабы инцидента, риски и возможные потери.
• Изолировать атакующих и начать восстановление.
01:37:20 Действия при внутреннем злоумышленнике
• Собрать антикризисный комитет и принять экстренные решения. Сделать снапшоты и собрать логи для расследования.
01:41:17 Обсуждение бюджетов и репутационных ущербов
01:47:33 Доказательства и необходимость идентификации злоумышленников
01:49:53 Обсуждение важности устранения последствий инцидентов
01:52:41 Создание группы реагирования
• Использование инструментов и лайфхаков для расследования инцидентов, а также использование внешних специалистов и сервисов.
02:01:51 Инструменты для расследования и реагирования на инциденты
02:07:20 Использования машинного обучения и искусственного интеллекта
• Применение ИИ в расследовании и реагировании на инциденты. Искусственный интеллект может быть полезен для обучения и анализа данных, но пока не может заменить людей.
02:13:01 Перспективы использования искусственного интеллекта
• Искусственный интеллект может быть полезен для оптимизации ресурсов и рутинной деятельности, но не для решения сложных задач.
02:15:14 Прогнозы и рекомендации
Модераторы:
- Анна Олейникова, директор по продуктам, Security Vision
Спикеры:
- Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского»
- Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности, Positive Technologies (PT Expert Security Center)
- Антон Величко, руководитель лаборатории криминалистики и исследования вредоносного кода, F.A.C.C.T.
- Максим Суханов, ведущий эксперт CICADA8, МТС RED
- Алексей Семенычев, руководитель направления экспертных сервисов и анализа киберугроз Центра компетенций ИБ, Группа компаний «Гарда»
- Илья Зуев, независимый эксперт в ИБ
Всегда актуальные новости:
Телеграм-канал Anti-Malware.ru
По вопросам рекламы:
Подписывайтесь на наши социальные сети:
[email protected]