Анатомия кибератаки: как расследовать инциденты информационной безопасности
С каждым годом кибератаки становятся всё более сложными и быстрыми. В прямом эфире AM Live мы обсудили: — Как начать расследование инцидента и какие действия важны в первые минуты. — Как восстановить данные и доказательства, если стандартные источники информации были уничтожены. — Почему важно избегать системных ошибок и задержек, чтобы ускорить расследование. — Какие технологии, такие как ИИ и автоматизация, изменят подходы к расследованиям в ближайшие годы. Смотрите запись, чтобы узнать, как повысить эффективность расследований и улучшить процессы безопасности в вашей компании. Модератор: Елизавета Шатунова, ГУП "Московский метропоплитен" Участники: 1. Константин Мушовец, УЦСБ 2. Николай Гончаров, Security Vision 3. Владимир Зуев, RED Security 4. Константин Сапронов, Лаборатория Касперского 5. Артём Савчук, Перспективный мониторинг 6. Денис Гойденко, Positive Technologies 7. Алексей Вишняков, ГК «Солар» Тайм-коды: 00:23:58 Введение 00:31:23 Начало расследования 00:34:37 Причины потери времени 00:35:30 Начало расследования инцидента 00:36:25 Различие между расследованием и реагированием 00:37:40 Рекомендации для заказчика 00:40:15 Стратегия реагирования на инцидент 00:42:25 Проблемы внутреннего расследования 00:44:27 Состав группы по расследованию 00:47:23 Форензика и расследование 00:49:51 Делегирование задач 00:50:49 Коммуникации с заказчиком 00:52:22 Цели расследования 00:52:58 Комплексная команда 00:53:44 Роль бизнеса 00:56:17 Универсальность команды 00:57:07 Отсутствие кросс-функциональной команды 00:57:42 Цели расследования 00:58:56 Роль руководителя в расследовании 00:59:38 Результаты опроса о инструментах 01:00:21 Востребованные навыки специалистов 01:03:17 Логика и практика в расследовании 01:05:26 Анализ живого инцидента и постфактум 01:07:54 Время и контекст в расследовании 01:09:06 Локализация и расследование инцидентов 01:10:52 Взвешенный подход к расследованию 01:11:54 Взаимодействие команд 01:14:11 Технические аспекты расследования 01:16:05 Роль общения и взаимодействия 01:18:25 Практические советы для заказчиков 01:19:53 Начало расследования 01:20:42 Гипотезы и их проверка 01:21:41 Инструменты для расследования 01:25:12 Риски использования опенсорсных решений 01:26:28 Классы инструментов для расследования 01:28:45 Работа с некачественно настроенным SIEM 01:29:45 Дополнительные источники информации 01:30:47 Проблемы с системами логирования 01:31:48 Признаки атак и расследование 01:33:22 Основные места для анализа 01:34:39 Роль системы логирования 01:37:21 Примеры успешных расследований 01:39:33 Важность открытости заказчиков 01:41:13 Восстановление по крупицам 01:42:27 Анализ стандартных артефактов 01:43:23 Анализ системы заказчика 01:44:19 Индикаторы в видеозаписях 01:46:10 Стратегия при атаке 01:47:38 Сигналы для эскалации 01:49:21 Внешние коммуникации 01:51:21 Моделирование процессов расследования 01:54:24 Расследование без следов 01:55:50 Интервьюирование и косвенные доказательства 01:56:49 Меры по предотвращению инцидентов 01:57:43 Сложности в расследовании 02:02:26 Атрибуция группировок 02:03:26 Системные ошибки 02:04:20 Проблемы недоделанного расследования инцидентов 02:06:22 Системное отсутствие понимания инфраструктуры 02:07:24 Киберучения и модернизация системы 02:10:28 Рекомендации и их выполнение 02:12:44 Инициатива выполнения отчёта 02:13:43 Структура отчёта 02:15:06 Управление ожиданиями и отчётность 02:16:06 Сложности внедрения решений 02:16:58 Будущее расследования инцидентов 02:20:32 Ограничения автоматизации 02:21:30 Применение ИИ в реверсе вредоносного ПО 02:23:40 Уникальные инциденты и автоматизация 02:25:26 Законодательная база и стандарты 02:26:00 Детализация и обновление 02:26:32 Законодательное регулирование 02:27:14 Практические примеры 02:28:05 Развитие систем обнаружения 02:30:18 Проблемы внедрения 02:36:49 Ответственность компаний 02:37:49 Заключение Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru
С каждым годом кибератаки становятся всё более сложными и быстрыми. В прямом эфире AM Live мы обсудили: — Как начать расследование инцидента и какие действия важны в первые минуты. — Как восстановить данные и доказательства, если стандартные источники информации были уничтожены. — Почему важно избегать системных ошибок и задержек, чтобы ускорить расследование. — Какие технологии, такие как ИИ и автоматизация, изменят подходы к расследованиям в ближайшие годы. Смотрите запись, чтобы узнать, как повысить эффективность расследований и улучшить процессы безопасности в вашей компании. Модератор: Елизавета Шатунова, ГУП "Московский метропоплитен" Участники: 1. Константин Мушовец, УЦСБ 2. Николай Гончаров, Security Vision 3. Владимир Зуев, RED Security 4. Константин Сапронов, Лаборатория Касперского 5. Артём Савчук, Перспективный мониторинг 6. Денис Гойденко, Positive Technologies 7. Алексей Вишняков, ГК «Солар» Тайм-коды: 00:23:58 Введение 00:31:23 Начало расследования 00:34:37 Причины потери времени 00:35:30 Начало расследования инцидента 00:36:25 Различие между расследованием и реагированием 00:37:40 Рекомендации для заказчика 00:40:15 Стратегия реагирования на инцидент 00:42:25 Проблемы внутреннего расследования 00:44:27 Состав группы по расследованию 00:47:23 Форензика и расследование 00:49:51 Делегирование задач 00:50:49 Коммуникации с заказчиком 00:52:22 Цели расследования 00:52:58 Комплексная команда 00:53:44 Роль бизнеса 00:56:17 Универсальность команды 00:57:07 Отсутствие кросс-функциональной команды 00:57:42 Цели расследования 00:58:56 Роль руководителя в расследовании 00:59:38 Результаты опроса о инструментах 01:00:21 Востребованные навыки специалистов 01:03:17 Логика и практика в расследовании 01:05:26 Анализ живого инцидента и постфактум 01:07:54 Время и контекст в расследовании 01:09:06 Локализация и расследование инцидентов 01:10:52 Взвешенный подход к расследованию 01:11:54 Взаимодействие команд 01:14:11 Технические аспекты расследования 01:16:05 Роль общения и взаимодействия 01:18:25 Практические советы для заказчиков 01:19:53 Начало расследования 01:20:42 Гипотезы и их проверка 01:21:41 Инструменты для расследования 01:25:12 Риски использования опенсорсных решений 01:26:28 Классы инструментов для расследования 01:28:45 Работа с некачественно настроенным SIEM 01:29:45 Дополнительные источники информации 01:30:47 Проблемы с системами логирования 01:31:48 Признаки атак и расследование 01:33:22 Основные места для анализа 01:34:39 Роль системы логирования 01:37:21 Примеры успешных расследований 01:39:33 Важность открытости заказчиков 01:41:13 Восстановление по крупицам 01:42:27 Анализ стандартных артефактов 01:43:23 Анализ системы заказчика 01:44:19 Индикаторы в видеозаписях 01:46:10 Стратегия при атаке 01:47:38 Сигналы для эскалации 01:49:21 Внешние коммуникации 01:51:21 Моделирование процессов расследования 01:54:24 Расследование без следов 01:55:50 Интервьюирование и косвенные доказательства 01:56:49 Меры по предотвращению инцидентов 01:57:43 Сложности в расследовании 02:02:26 Атрибуция группировок 02:03:26 Системные ошибки 02:04:20 Проблемы недоделанного расследования инцидентов 02:06:22 Системное отсутствие понимания инфраструктуры 02:07:24 Киберучения и модернизация системы 02:10:28 Рекомендации и их выполнение 02:12:44 Инициатива выполнения отчёта 02:13:43 Структура отчёта 02:15:06 Управление ожиданиями и отчётность 02:16:06 Сложности внедрения решений 02:16:58 Будущее расследования инцидентов 02:20:32 Ограничения автоматизации 02:21:30 Применение ИИ в реверсе вредоносного ПО 02:23:40 Уникальные инциденты и автоматизация 02:25:26 Законодательная база и стандарты 02:26:00 Детализация и обновление 02:26:32 Законодательное регулирование 02:27:14 Практические примеры 02:28:05 Развитие систем обнаружения 02:30:18 Проблемы внедрения 02:36:49 Ответственность компаний 02:37:49 Заключение Календарь трансляций AM Live https://live.anti-malware.ru/ https://t.me/anti_malware https://vk.com/anti_malware https://www.anti-malware.ru/ По вопросам рекламы: sales@anti-malware.ru