1. Что такое инцидент?
- Определение инцидента по жизни и согласно нормативным документам
- Типы инцидентов
- Жизненный цикл инцидента
- Kill chain
2. Кто должен реагировать на инциденты?
- CSIRT / CERT / SOC
- Эскалация инцидентов
3. Когда надо реагировать на инциденты?
- Время реагирования
- Правило 1-10-60
4. Как надо реагировать на инциденты?
- 6 этапов процесса реагирования (модель PDCERF/PICERL): подготовка, обнаружение (идентификация), локализация, устранение последствий, восстановление, извлечение уроков
- Политика/план/процедуры реагирования на инциденты
- Что такое Playbook?
- Взаимодействие со СМИ / партнерами / контрагентами / клиентами / акционерами
- Коммуникации во время инцидента
5. С помощью чего надо реагировать на инциденты?
- IRP- и SOAR-платформы
- Форензика
- NDR / EDR / XDR
- Анализ вредоносного кода / песочницы
- Обманные системы
6. Собираем все вместе. Примеры
- Шифровальщик
- DDoS-атака
- Утечка пароля
- Фишинг
- Утечка персональных данных
- APT
7. Трюки и лайфхаки
- Реагирование на взломанной системе
- Взаимодействие с правоохранительными органами
- Наблюдение vs немедленное реагирование
- Реагирование в промышленных сетях (АСУ ТП)
- Реагирование в облаках
8. Оценка эффективности процесса реагирования
9. Нормативные требования по реагированию на инциденты
- ФСТЭК России
- ФСБ России / НКЦКИ / ГосСОПКА
- Банк России
- Международные стандарты
|
ПРЕПОДАВАТЕЛЬ КУРСА:
Лукацкий Алексей Викторович, ведущий российский эксперт в области информационной безопасности.
|
|
|
|
|
|