Быстрое и эффективное расследование может существенно сократить время реагирования и уменьшить последствия инцидента. А значит, снизить финансовые и репутационные потери для организации.
Что является ключевым элементом успешного расследования инцидентов в области информационной безопасности? Выясним в эфире AM Live.
Подключайтесь, чтобы узнать, как формировать и готовить команду, собирать улики и вести документацию и не допустить повторения инцидентов в будущем.
Ключевые вопросы дискуссии:
- Цели и задачи расследования инцидентов
- Чем расследование отличается от форензики? Какие цели, задачи, ожидаемый финальный результат у этих мероприятий?
- Какой подход для расследования инцидентов используется чаще: реактивный или проактивный?
- Где заканчивается реагирование и начинается расследование?
- Когда заказчику пора вызывать бригаду специалистов по расследованию?
- Как ранжируются инциденты по степени критичности/бизнес-рискам, если команда вызвана в произвольный момент, и мы на первом этапе не знаем деталей про злоумышленника?
- Как донести заказчику, что надо делать полную изоляцию сети, или инфраструктура будет уничтожена?
- Блиц: Главные ошибки при организации расследований инцидентов и как их избежать на этапе планирования? + реальные истории из опыта форензики
- Какие задачи обязательно надо делать внутренними ресурсами, а какие стоит отдать на аутсорсинг?
- Команда расследования на аутсорсинге: какие роли и компетенции, особенности её структуры?
- Внутренняя команда заказчика: какие шаги со стороны заказчика реально могут помочь снизить ущерб от инцидента, а какие шаги, наоборот, могут усугубить ситуацию?
- Практика расследования и предотвращения инцидентов
- Что ожидать заказчику с точки зрения работ на его инфраструктуре во время расследования?
- Какие данные необходимо собирать на ранних этапах расследования?
- Как обеспечить сохранность и целостность доказательной базы при проведении расследования?
- Какие инструменты и технологии помогают автоматизировать расследование?
- Какие процессы должны быть внедрены заранее для быстрого реагирования на инциденты?
- Сколько времени обычно требуется для завершения расследования? Как определить этот срок?
- Нужно ли формировать какие-то процессы внутри компании по расследованию и как часто их обновлять? Для больших компаний? Для средних и маленьких?
- Прогнозы развития киберкриминалистики
- Какие тренды и новации в области кибербезопасности могут существенно изменить подходы к расследованию инцидентов в ближайшие 1-2 года?
Приглашенные эксперты:
Константин Сапронов Руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского» |
|
Денис Гойденко Руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности, Positive Technologies |
|
Антон Величко Руководитель лаборатории криминалистики и исследования вредоносного кода, F.A.C.C.T. |
|
Семён Рогачев Руководитель отдела реагирования на инциденты, «Бастион» |
|
Николай Гончаров Директор департамента мониторинга кибербезопасности, Security Vision |
|
Никита Леокумович Начальник управления цифровой криминалистики и киберразведки, Angara Security |
|
Фёдор Скворцов Руководитель отдела реагирования на киберугрозы, BI.ZONE |
Модераторы:
Александр Осипов Директор по продуктовому портфелю, Red Security |