Когда происходит киберинцидент, счет идет на минуты. Успешное расследование зависит не только от инструментов и логов, но и от слаженности команды, грамотной фиксации следов и способности быстро выдвигать и проверять гипотезы. Как действовать в первые часы? Что делать, если журналы удалены, а вредонос уже стер свои следы? Где взять данные, как строить цепочку атаки и какие выводы сделать, чтобы не наступить на те же грабли снова?
В прямом эфире AM Live мы обсудим реальные кейсы технических расследований, полезные инструменты, приемы цифровой криминалистики, а также поговорим о системных ошибках, которые всплывают после атак. Уделим внимание и будущему расследований: каким оно будет через 2–3 года и как изменится под влиянием ИИ и автоматизации.
С чего начинается расследование?
С какой минуты после инцидента начинается расследование и какие задачи стоят в первые часы?
Кто и в каком составе должен быть вовлечен в расследование?
Какие навыки наиболее востребованы у технических специалистов при инцидентах?
Чем отличается анализ «живого» инцидента от постфактум-расследования?
Как формализовать и задокументировать расследование - пригодится ли это в суде, для регулятора, для внутреннего разбора?
Где брать информацию для расследования: сетевые логи, SIEM, EDR, NetFlow, дампы, скрипты?
Какие инструменты и утилиты чаще всего применяются: open source vs коммерческие продукты?
Что можно узнать, если SIEM не настроен или журналы были стерты?
Где тонко - там и рвется: как подготовить инфраструктуру, чтобы потом было что расследовать?
Практика расследования инцидентов
Какие артефакты и признаки чаще всего приводят к раскрытию цепочки атаки?
Блиц. Реальные истории: атаки, которые «восстанавливали по крупицам».
Какие сигналы указывают, что инцидент требует эскалации на уровень топ-менеджмента или антикризисного штаба?
Как проводить атрибуцию - нужно ли это на самом деле?
Что делать, если следы были полностью затерты злоумышленниками или неаккуратными действиями ИТ?
Какие инциденты сложнее всего расследовать?
Какие системные ошибки чаще всего выявляются в результате расследования?
Почему одни атаки раскрываются за 2 часа, а другие - через 2 месяца?
Как перевести выводы расследования в конкретные меры усиления защиты?
Кто должен готовить итоговое резюме расследования - и как его правильно презентовать?
Будущее расследования инцидентов
Какие технологии поменяют подход к расследованиям инцидентов?
Будет ли сформирована национальная методика или стандарт расследований инцидентов?
Появятся ли платформы или сервисы, которые закроют цикл «обнаружение - расследование - устранение последствий»?
Технический директор центра мониторинга и реагирования на кибератаки RED Security SOC
RED Security
Руководитель глобальной команды реагирования на инциденты информационной безопасности
«Лаборатория Касперского»
Руководитель департамента комплексного реагирования на киберугрозы
Positive Technologies
Стать участником мероприятия
Заполните форму и наш представитель свяжется с вами
Мы используем cookie-файлы
Для обеспечения оптимальной работы сайта используются технология Сookie. Оставаясь на нашем сайте, вы соглашаетесь с Политикой обработки персональных данных. Если вы хотите запретить обработку файлов Сookie, отключите Сookie в настройках вашего браузера.
