Расследование инцидентов информационной безопасности
Из каких этапов состоит реагирование и расследование киберинцидентов и что делать на каждом этапе, какие методы и инструменты использовать для сбора доказательств и восстановления инфраструктуры?
00:00 - Вступление
02:00 - Обсуждение подходов к расследованию и реагированию на инциденты информационной безопасности
• Подготовка инфраструктуры, формирование планов реагирования.
06:34 Расследование и реагирование на инциденты
• Обсуждение последовательности этапов расследования: подготовка, детектирование, реагирование, расследование, восстановление и обучение.
11:00 Разнообразие подходов к реагированию на инциденты
14:32 Подготовка к реагированию на инциденты
• Анализ информации о компании, периметре и доменах, чтобы определить возможные пути проникновения хакеров.
18:35 Мониторинг источников и подготовка к инцидентам
• Услуги по мониторингу источников в дарквебе и подготовке к возможным инцидентам.
22:03 Состав команды информационной безопасности
23:32 Этапы реагирования на инциденты
30:40 Взаимодействие с внешними экспертами, PR и правоохранительными органами
34:10 Восстановление информации после кибератаки
• Возможности предоставления информации правоохранительным органам и важности взаимодействия с ними для проведения расследования и наказания виновных.
35:17 Сложности реагирования на атаки
37:16 Сбор информации об инциденте и ее анализ
40:02 Важность сотрудничества и одного человека для предотвращения атаки
41:16 Процесс реагирование на инциденты
44:52 Цифровая криминалистика
50:44 Делегирование и обучение команды для расследование инцидентов
• Автоматизация процесса обучения и обмена знаниями может улучшить результаты команды.
52:14 Взаимодействие с комьюнити
• Фидами занимаются отдельные команды, которые взаимодействуют с аналитиками вредоносного кода.
• Обмен информацией часто происходит в чатах и личном общении.
59:19 Работа с комьюнити и создание фреймворка
01:01:41 Работа с целевыми атаками
01:11:00 Взаимодействие с хакерами
• Опыт общения с хакерами, как важно не спугнуть злоумышленника и не спровоцировать его на активные действия.
01:15:34 Выбор между полной остановкой бизнеса и изоляцией
• Бизнесу необходимо выбирать между полной остановкой и изоляцией, учитывая возможные финансовые потери и репутационные ущербы.
01:16:53 Обсуждение расследования инцидентов
• Расследование инцидентов может быть сложным и длительным процессом, требующим много времени и усилий.
01:18:41 Важность обращение в правоохранительные органы
01:21:37 Поиск конечных злоумышленников
01:23:35 Советы для жертв кибератаки
• Не паниковать, собирать информацию и артефакты, не предпринимать поспешных действий, взаимодействовать с юристами и предоставить отчет в правоохранительные органы для защиты интересов компании.
01:28:29 Аутсорсинг реагирования на инциденты
01:33:06 Правильная оценка ситуации
• Оценить масштабы инцидента, риски и возможные потери.
• Изолировать атакующих и начать восстановление.
01:37:20 Действия при внутреннем злоумышленнике
• Собрать антикризисный комитет и принять экстренные решения. Сделать снапшоты и собрать логи для расследования.
01:41:17 Обсуждение бюджетов и репутационных ущербов
01:47:33 Доказательства и необходимость идентификации злоумышленников
01:49:53 Обсуждение важности устранения последствий инцидентов
01:52:41 Создание группы реагирования
• Использование инструментов и лайфхаков для расследования инцидентов, а также использование внешних специалистов и сервисов.
02:01:51 Инструменты для расследования и реагирования на инциденты
02:07:20 Использования машинного обучения и искусственного интеллекта
• Применение ИИ в расследовании и реагировании на инциденты. Искусственный интеллект может быть полезен для обучения и анализа данных, но пока не может заменить людей.
02:13:01 Перспективы использования искусственного интеллекта
• Искусственный интеллект может быть полезен для оптимизации ресурсов и рутинной деятельности, но не для решения сложных задач.
02:15:14 Прогнозы и рекомендации
Модераторы:
Анна Олейникова, директор по продуктам, Security Vision
Спикеры:
Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского»
Денис Гойденко, руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности, Positive Technologies (PT Expert Security Center)
Антон Величко, руководитель лаборатории криминалистики и исследования вредоносного кода, F.A.C.C.T.
Максим Суханов, ведущий эксперт CICADA8, МТС RED
Алексей Семенычев, руководитель направления экспертных сервисов и анализа киберугроз Центра компетенций ИБ, Группа компаний «Гарда»
Илья Зуев, независимый эксперт в ИБ
Всегда актуальные новости:
https://www.anti-malware.ru/news
Подписывайтесь на наши социальные сети:
Телеграм-канал Anti-Malware.ru
https://t.me/anti_malware
По вопросам рекламы:
[email protected]
Смотрите видео Расследование инцидентов информационной безопасности онлайн, длительностью часов минут секунд в хорошем качестве, которое загружено на канал AM Live 14 Декабрь 2023. Делитесь ссылкой на видео в социальных сетях, чтобы ваши подписчики и друзья так же посмотрели это видео. Данный видеоклип посмотрели 11,291 раз и оно понравилось 74 посетителям.
