Что такое расследование инцидентов?
Это комплекс мероприятий, направленных на выявление, анализ и устранение последствий киберинцидентов.
Это разбор:
1) что произошло
2) как произошло + доказательства
3) как не допустить повторения
При этом в цифровой криминалистике:
- используются методы восстановления удалённых данных
- проводится хронология событий
- готовятся доказательства, которые можно использовать в суде
В каких случая требуется расследование инцидента?
- Вас взломали, и бизнес не может продолжать работу
- Системы подверглись атаке, и непонятно как именно проник злоумышленник
- Нет ясности, какие именно данные повреждены или похищены
- Произошла утечка данных или компрометация аккаунтов, но неизвестен источник (внутренний или внешний)
- Атаки на веб-сайты или бизнес-приложения
- Недостаток доказательств для внутреннего расследования или суда
- Требования регуляторов (ФСТЭК, ФСБ и др.) после киберинцидента
Кто проводит расследование?
В Simplity расследование киберинцидентов проводят специалисты по информационной безопасности и цифровой криминалистике.
В зависимости от масштаба и серьёзности инцидента это могут быть как внутренние сотрудники компании, так и внешние эксперты. Предлагаем сравнить самостоятельное расследование и работу профессиональной forensic-команды.
Что дает расследование компьютерного инцидента
- Полную картину инцидента: от точки входа до последствий
- Подтверждение или исключение инсайдерской угрозы
- Детализированные рекомендации по предотвращению повторных атак
- Оптимальный план восстановления инфраструктуры, сроки и стоимость решений
Этапы проведения расследования
Комплексное расследование киберинцидента включает в себя:
- Техническое расследование - сбор и анализ цифровых следов (журналы, трафик, устройства).
- Восстановление хронологии атаки и действий злоумышленника
- Определение источника утечки или компрометации
- Определений вектора атаки и точек входа
- Формирование портрета нарушителя и его инструментов
- Определение масштаба инцидента, уровня ущерба
- Подготовка доказательной базы для правоохранительных органов или суда
- Установка сроков и стоимости восстановления инфраструктуры
- Разработка мер по предотвращению аналогичных атак
Что делать после расследования?
Само расследование — это только половина работы. Важно правильно действовать после его завершения, чтобы бизнес восстановился и риск повторных атак был минимальным.
Расследование инциденты в обязательном порядке включает в себя план восстановления – именно ему и предстоит следовать.
Устранить уязвимости
Закрыть дыры в инфраструктуре, уязвимости, через которые проник злоумышленник
Удалить вредоносное ПО, «бэкдоры» и скрытые учётные записи
Обновить системы, прошивки и программное обеспечение
Восстановить ИТ-инфраструктуру
Проверить целостность данных и систем
Восстановить из бэкапов критически важные сервисы
Перепроверить все точки доступа
Усилить защиту
Внедрить недостающие и дополнительные средства защиты (EDR, SIEM, DLP, WAF, MFA и др.)
Пересмотреть политику доступов по пути минимально необходимых
Настроить мониторинг и реагирование
Обучить сотрудников
Объяснить, какие действия персонала могли способствовать инциденту
Отработать сценарии «что делать при подозрении на атаку» - провести киберучения по фишингу и вишингу
Завершить юридическую и организационную часть
Подготовить отчёт для руководства, регуляторов или суда
Задокументировать выводы и принятые меры
Внести изменения в план реагирования на инциденты
Наладить профилактику и постоянный контроль
Регулярные сканирования уязвимостей и пентесты
Задуматься о подключении мониторинга событий ИБ 24/7
Со всеми вышеперечисленными этапами и шагами может помочь команда Simplity. Оставьте заявку для более подробной консультации.