Расследование Инцидентов Иб

Просмотров: 15
Расследование Инцидентов Иб. Forensic РасследованиеКиберинцидентов AMLIVE Запись прямого эфира онлайн конференции AM Live проходившей 06 октября года, на которой эксперты поговорили о том, как правильно проводить расследование инцидентов информационной безопасности. Модератор: • Сергей Рысин, главный специалист по защите информации Департамента специальных проектов HeadHunter Участники: • Михаил Прохоренко, руководитель группы реагирования BI.ZONE • Михаил Кондрашин, технический директор Trend Micro в СНГ, Грузии и Монголии • Дмитрий Лифанов, ведущий аналитик Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT Инфосистемы Джет • Олег Скулкин, заместитель руководителя лаборатории компьютерной криминалистики и исследования вредоносного кода, Group IB • Денис Гойденко, руководитель отдела реагирования на угрозы ИБ Positive Technologies • Игорь Залевский, руководитель отдела расследования киберинцидентов Solar JSOC CERT, Ростелеком Солар • Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, Лаборатория Касперского — Интро 0:33 — Представление экспертов 1:00 — Что такое расследование инцидентов в — Какие СЗИ необходимы, чтобы начать расследование — Часто ли бывают нулевые — Можно ли провести расследование самостоятельно, без привлечения сторонних — Как собрать необходимую для расследования информацию и не парализовать работу — Сколько времени занимает — Кто чаще стоит за атаками, APT группировки или школьники — С какими инцидентами чаще всего обращаются — Как изменятся расследования инцидентов в течение ближайших 3 5 — Особенности расследования в облачной — Чем отличаются расследования в России и за — Проблемы взаимодействия с ИТ службами заказчика Ключевые вопросы: 1. Цели и методы расследования инцидентов • Кому и для чего необходимо расследовать компьютерные инциденты? • Какие инциденты стоит расследовать и почему? • На какие результаты расследования инцидентов ИБ можно рассчитывать? • Зачем тратить ресурсы на выяснения деталей уже прошедшей атаки? Не лучше ли сосредоточиться на защите от будущих атак? • У нас есть SIEM и DLP, которые пишут все. Достаточно ли этого для расследования? • Наша компания cloud native. Какие особенности расследований инцидентов в облачной инфраструктуре? • Если работали профи, то они затерли за собой все следы. Что здесь можно расследовать? • Какие навыки необходимы специалистам для проведения расследования? • Можно ли провести расследование своими силами? • Из каких шагов состоит процесс расследования инцидентов? • Какие средства защиты, мониторинга и логирования необходимы для проведения полноценного расследования? • В каких ситуациях стоит обратиться за помощью к внешним специалистам? • Каким образом внешние кибердетективы могут обогатить результаты расследования по своим каналам? • Насколько реально провести атрибуцию атаки или даже выйти на заказчика? • Какой процент расследований заканчивается посадками злоумышленников? • Когда за расследование не возьмется никто? 2. Практика расследований инцидентов • Как сохранить максимум ценной информации для работы специалистов и не потерять важные улики? • Как не парализовать работу компании и при этом собрать необходимые данные? • Сколько времени есть на проведение расследования? И когда уже бесполезно начинать? • Как правильно оформить договор с внешним подрядчиком на проведение расследования? • Какие права и доступы будут необходимы кибердетективам? • Какие этапы расследования лучше сделать своими силами? • Какие гарантии могут дать кибердетективы? Будут ли искать до победного конца? • При каких условиях найденные доказательства будут иметь юридическую силу? • Как долго на практике идет процесс расследования? • Кто будет заниматься передачей дела в суд? • В ходе расследования подрядчик собрал очень много информации и был допущен конфиденциальным данным. Как подстраховаться от возможных злоупотреблений? 3. Прогноз развития рынка услуг расследования инцидентов • Что ожидает рынок в перспективе 2 3 года? • Способствует ли развитие СЗИ проведению расследований? • Если все окончательно перейдут на облачные сервисы, то не сведется ли процесс расследование к банальному чтению логов? • Какие межгосударственные инициативы могут способствовать повышению эффективности расследований и поимке злоумышленников? • Не должна ли со временем функция расследования компьютерных преступлений перейти государству? Записи других прямых эфиров AM Live Подписывайтесь на наш канал Присоединяйтесь к нам в соцсетях!
Категория
Прочее