Как проводить расследование инцидентов информационной безопасности

#Форензика #СетеваяКриминалистика #AMLive

0:00 — Интро
0:42 — Приветствие Всеслава Соленика, модератора эфира
3:05 — Представление участников
4:53 — Кому проводить расследование ИБ-инцидентов?
7:19 — Когда необходимо инициировать расследование?
10:41 — Классический сценарий проведения расследования
15:35 — Нужно ли вести переговоры с атакующей стороной (хакерами)?
17:04 — Когда можно получить итоговый отчет с рекомендациями по реагированию на инцидент?
17:38 — Всегда ли нужно проводить расследование?
22:36 — Обнаружение вируса в корпоративной инфраструктуре — инцидент или нет?
28:00 — Нужно ли учитывать мотивы и психологию поведения хакера?
31:23 — Как компаниям следует подготовиться заранее к возможности проведения расследований?
40:25 — Нужна ли компаниям экспертиза в диагностике работы средств защиты выше обычного уровня?
45:59 — Что обычно не хватает расследователям для эффективного проведения расследования?
47:25 — Нужно ли оценивать ущерб от инцидента при расследовании?
47:25 — Следует ли обращаться в правоохранительные органы по результатам расследования инцидента и доводить дело до суда?
57:07 — Международное сотрудничество при расследовании инцидентов: какие произошли изменения в последнее время?
1:04:30 — Наблюдается ли отток ИТ-специалистов в сфере расследований и forensics?
1:10:54 — Из каких технических этапов состоит процесс расследования инцидентов?
1:19:15 — Какими инструментами пользуются расследователи?
1:25:10 — Что должен делать заказчик для локализации пораженного сегмента?
1:39:19 — Какие есть рекомендации со стороны расследователей по локализации распространения инцидента?
1:45:14 — Нужно ли раскрывать информацию об инциденте?
1:48:58 — Какие обязательства перед заказчиком берут на себя расследователи при проведении расследования?
1:53:10 — Сколько реально может занять расследование?
1:56:07 — Могут ли расследователи реально выявить атакующих хакеров?
2:00:13 — Как выявляются принципиально новые атаки от тиражируемых атак?
2:05:05 — Как получить качественное образование, чтобы работать расследователем?

Модератор:
👨‍⚖️ Всеслав Соленик
Независимый эксперт

Участники:
🗣 Константин Сапронов
Руководитель отдела оперативного решения компьютерных инцидентов, «Лаборатория Касперского»

🗣 Игорь Залевский
Руководитель отдела расследования киберинцидентов Solar JSOC CERT, «Ростелеком-Солар»

🗣 Денис Гойденко
Руководитель отдела реагирования на угрозы ИБ экспертного центра безопасности, Positive Technologies

🗣 Руслан Ложкин
Руководитель службы информационной безопасности
АКБ Абсолют Банк (ПАО)

Ключевые вопросы:

👉 Какие инциденты стоит сейчас расследовать и почему?
👉 Изменились ли цели проведения расследований в 2022 году?
👉 Как выявить заслуживающие внимания киберинциденты?
👉 Как сохранить максимум ценной информации для работы специалистов и не потерять важные улики?
👉 Как оперативно очертить круг ресурсов, затронутых атакой?
👉 Как использовать результаты расследований для обоснования бюджета на ИБ?
👉 На какие результаты расследования инцидентов ИБ можно рассчитывать?

Записи других прямых эфиров AM Live

Подписывайтесь на наш канал

Присоединяйтесь к нам в соцсетях!