До начала онлайн-конференции осталось
Когда происходит киберинцидент, счет идет на минуты. Успешное расследование зависит не только от инструментов и логов, но и от слаженности команды, грамотной фиксации следов и способности быстро выдвигать и проверять гипотезы. Как действовать в первые часы? Что делать, если журналы удалены, а вредонос уже стер свои следы? Где взять данные, как строить цепочку атаки и какие выводы сделать, чтобы не наступить на те же грабли снова?
В прямом эфире AM Live мы обсудим реальные кейсы технических расследований, полезные инструменты, приемы цифровой криминалистики, а также поговорим о системных ошибках, которые всплывают после атак. Уделим внимание и будущему расследований: каким оно будет через 2–3 года и как изменится под влиянием ИИ и автоматизации.
С чего начинается расследование?
С какой минуты после инцидента начинается расследование и какие задачи стоят в первые часы?
Кто и в каком составе должен быть вовлечен в расследование?
Какие навыки наиболее востребованы у технических специалистов при инцидентах?
Чем отличается анализ «живого» инцидента от постфактум-расследования?
Как формализовать и задокументировать расследование - пригодится ли это в суде, для регулятора, для внутреннего разбора?
Где брать информацию для расследования: сетевые логи, SIEM, EDR, NetFlow, дампы, скрипты?
Какие инструменты и утилиты чаще всего применяются: open source vs коммерческие продукты?
Что можно узнать, если SIEM не настроен или журналы были стерты?
Где тонко - там и рвется: как подготовить инфраструктуру, чтобы потом было что расследовать?
Практика расследования инцидентов
Какие артефакты и признаки чаще всего приводят к раскрытию цепочки атаки?
Блиц. Реальные истории: атаки, которые «восстанавливали по крупицам».
Какие сигналы указывают, что инцидент требует эскалации на уровень топ-менеджмента или антикризисного штаба?
Как проводить атрибуцию - нужно ли это на самом деле?
Что делать, если следы были полностью затерты злоумышленниками или неаккуратными действиями ИТ?
Какие инциденты сложнее всего расследовать?
Какие системные ошибки чаще всего выявляются в результате расследования?
Почему одни атаки раскрываются за 2 часа, а другие - через 2 месяца?
Как перевести выводы расследования в конкретные меры усиления защиты?
Кто должен готовить итоговое резюме расследования - и как его правильно презентовать?
Будущее расследования инцидентов
Какие технологии поменяют подход к расследованиям инцидентов?
Будет ли сформирована национальная методика или стандарт расследований инцидентов?
Появятся ли платформы или сервисы, которые закроют цикл «обнаружение - расследование - устранение последствий»?
Стать участником мероприятия
Заполните форму и наш представитель свяжется с вами
Мы используем cookie-файлы
Для обеспечения оптимальной работы сайта используются технология Сookie. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки персональных данных. Если вы хотите запретить обработку файлов Сookie, отключите Сookie в настройках вашего браузера.
