#Forensic #РасследованиеКиберинцидентов #AMLIVE
Запись прямого эфира онлайн-конференции AM Live ([ Ссылка ]), проходившей 06 октября 2021 года, на которой эксперты поговорили о том, как правильно проводить расследование инцидентов информационной безопасности.
Модератор:
• Сергей Рысин, главный специалист по защите информации Департамента специальных проектов HeadHunter
Участники:
• Михаил Прохоренко, руководитель группы реагирования BI.ZONE
• Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии
• Дмитрий Лифанов, ведущий аналитик Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT «Инфосистемы Джет»
• Олег Скулкин, заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода, Group-IB
• Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies
• Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT, «Ростелеком-Солар»
• Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского»
00:00 — Интро
0:33 — Представление экспертов
1:00 — Что такое расследование инцидентов в ИБ
21:12 — Какие СЗИ необходимы, чтобы начать расследование инцидента
32:30 — Часто ли бывают «нулевые» расследования
40:00 — Можно ли провести расследование самостоятельно, без привлечения сторонних специалистов
49:30 — Как собрать необходимую для расследования информацию и не парализовать работу компании
1:01:15 — Сколько времени занимает расследование
1:12:30 — Кто чаще стоит за атаками, APT-группировки или «школьники»
1:19:20 — С какими инцидентами чаще всего обращаются заказчики
1:28:54 — Как изменятся расследования инцидентов в течение ближайших 3–5 лет
1:41:03 — Особенности расследования в облачной среде
1:59:20 — Чем отличаются расследования в России и за рубежом
2:10:02 — Проблемы взаимодействия с ИТ-службами заказчика
Ключевые вопросы:
1. Цели и методы расследования инцидентов
• Кому и для чего необходимо расследовать компьютерные инциденты?
• Какие инциденты стоит расследовать и почему?
• На какие результаты расследования инцидентов ИБ можно рассчитывать?
• Зачем тратить ресурсы на выяснения деталей уже прошедшей атаки? Не лучше ли сосредоточиться на защите от будущих атак?
• У нас есть SIEM и DLP, которые пишут все. Достаточно ли этого для расследования?
• Наша компания cloud native. Какие особенности расследований инцидентов в облачной инфраструктуре?
• Если работали профи, то они затерли за собой все следы. Что здесь можно расследовать?
• Какие навыки необходимы специалистам для проведения расследования?
• Можно ли провести расследование своими силами?
• Из каких шагов состоит процесс расследования инцидентов?
• Какие средства защиты, мониторинга и логирования необходимы для проведения полноценного расследования?
• В каких ситуациях стоит обратиться за помощью к внешним специалистам?
• Каким образом внешние кибердетективы могут обогатить результаты расследования по своим каналам?
• Насколько реально провести атрибуцию атаки или даже выйти на заказчика?
• Какой процент расследований заканчивается посадками злоумышленников?
• Когда за расследование не возьмется никто?
2. Практика расследований инцидентов
• Как сохранить максимум ценной информации для работы специалистов и не потерять важные улики?
• Как не парализовать работу компании и при этом собрать необходимые данные?
• Сколько времени есть на проведение расследования? И когда уже бесполезно начинать?
• Как правильно оформить договор с внешним подрядчиком на проведение расследования?
• Какие права и доступы будут необходимы кибердетективам?
• Какие этапы расследования лучше сделать своими силами?
• Какие гарантии могут дать кибердетективы? Будут ли искать до победного конца?
• При каких условиях найденные доказательства будут иметь юридическую силу?
• Как долго на практике идет процесс расследования?
• Кто будет заниматься передачей дела в суд?
• В ходе расследования подрядчик собрал очень много информации и был допущен конфиденциальным данным. Как подстраховаться от возможных злоупотреблений?
3. Прогноз развития рынка услуг расследования инцидентов
• Что ожидает рынок в перспективе 2-3 года?
• Способствует ли развитие СЗИ проведению расследований?
• Если все окончательно перейдут на облачные сервисы, то не сведется ли процесс расследование к банальному чтению логов?
• Какие межгосударственные инициативы могут способствовать повышению эффективности расследований и поимке злоумышленников?
• Не должна ли со временем функция расследования компьютерных преступлений перейти государству?
Записи других прямых эфиров AM Live
[ Ссылка ]
Подписывайтесь на наш канал
[ Ссылка ]
Присоединяйтесь к нам в соцсетях!
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
[ Ссылка ]
Ещё видео!