Хотите ли вы знать, кто пытался украсть ваши конфиденциальные данные или зашифровать ваши серверы? Какие техники, тактики и средства использовали злоумышленники? И главное, кто стоит за атаками на вашу организацию?
Обсудим с ведущими экспертами, как правильно проводить расследование инцидентов информационной безопасности, оправдывают ли себя затраченные усилия. В каких случаях можно успешно провести атрибуцию атаки, выйти на след реальных злоумышленников и довести дело до суда.
Поговорим о практике проведения расследований, как избежать многих типичных ошибок, выбрать подходящего подрядчика и правильно оформить доказательную базу.
Ключевые вопросы дискуссии:
1. Цели и методы расследования инцидентов
- Кому и для чего необходимо расследовать компьютерные инциденты?
- Какие инциденты стоит расследовать и почему?
- На какие результаты расследования инцидентов ИБ можно рассчитывать?
- Зачем тратить ресурсы на выяснения деталей уже прошедшей атаки? Не лучше ли сосредоточиться на защите от будущих атак?
- У нас есть SIEM и DLP, которые пишут все. Достаточно ли этого для расследования?
- Наша компания cloud native. Какие особенности расследований инцидентов в облачной инфраструктуре?
- Если работали профи, то они затерли за собой все следы. Что здесь можно расследовать?
- Какие навыки необходимы специалистам для проведения расследования?
- Можно ли провести расследование своими силами?
- Из каких шагов состоит процесс расследования инцидентов?
- Какие средства защиты, мониторинга и логирования необходимы для проведения полноценного расследования?
- В каких ситуациях стоит обратиться за помощью к внешним специалистам?
- Каким образом внешние кибердетективы могут обогатить результаты расследования по своим каналам?
- Насколько реально провести атрибуцию атаки или даже выйти на заказчика?
- Какой процент расследований заканчивается посадками злоумышленников?
- Когда за расследование не возьмется никто?
2. Практика расследований инцидентов
- Как сохранить максимум ценной информации для работы специалистов и не потерять важные улики?
- Как не парализовать работу компании и при этом собрать необходимые данные?
- Сколько времени есть на проведение расследования? И когда уже бесполезно начинать?
- Как правильно оформить договор с внешним подрядчиком на проведение расследования?
- Какие права и доступы будут необходимы кибердетективам?
- Какие этапы расследования лучше сделать своими силами?
- Какие гарантии могут дать кибердетективы? Будут ли искать до победного конца?
- При каких условиях найденные доказательства будут иметь юридическую силу?
- Как долго на практике идет процесс расследования?
- Кто будет заниматься передачей дела в суд?
- В ходе расследования подрядчик собрал очень много информации и был допущен конфиденциальным данным. Как подстраховаться от возможных злоупотреблений?
3. Прогноз развития рынка услуг расследования инцидентов
- Что ожидает рынок в перспективе 2-3 года?
- Способствует ли развитие СЗИ проведению расследований?
- Если все окончательно перейдут на облачные сервисы, то не сведется ли процесс расследование к банальному чтению логов?
- Какие межгосударственные инициативы могут способствовать повышению эффективности расследований и поимке злоумышленников?
- Не должна ли со временем функция расследования компьютерных преступлений перейти государству?
Приглашенные эксперты:
- Михаил Прохоренко, руководитель группы реагирования BI.ZONE
- Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии
- Дмитрий Лифанов, ведущий аналитик Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет»
- Олег Скулкин, заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода, Group-IB
- Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies
- Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT, «Ростелеком-Солар»
- Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского»
Модераторы:
- Сергей Рысин, главный специалист по защите информации Департамента специальных проектов HeadHunter
