Реагирование на инциденты информационной безопасности

ОСНОВНЫЕ ВОПРОСЫ, РАССМАТРИВАЕМЫЕ НА КУРСЕ

 1. Что такое инцидент?

  • Определение инцидента по жизни и согласно нормативным документам
  • Типы инцидентов
  • Жизненный цикл инцидента
  • Kill chain

2. Кто должен реагировать на инциденты?

  • CSIRT / CERT / SOC
  • Эскалация инцидентов

3. Когда надо реагировать на инциденты?

  • Время реагирования
  • Правило 1-10-60

4. Как надо реагировать на инциденты?

  • 6 этапов процесса реагирования (модель PDCERF/PICERL): подготовка, обнаружение (идентификация), локализация, устранение последствий, восстановление, извлечение уроков
  • Политика/план/процедуры реагирования на инциденты
  • Что такое Playbook?
  • Взаимодействие со СМИ / партнерами / контрагентами / клиентами / акционерами
  • Коммуникации во время инцидента

5. С помощью чего надо реагировать на инциденты?

  • IRP- и SOAR-платформы
  • Форензика
  • NDR / EDR / XDR
  • Анализ вредоносного кода / песочницы
  • Обманные системы

6. Собираем все вместе. Примеры

  • Шифровальщик
  • DDoS-атака
  • Утечка пароля
  • Фишинг
  • Утечка персональных данных
  • APT

7. Трюки и лайфхаки

  • Реагирование на взломанной системе
  • Взаимодействие с правоохранительными органами
  • Наблюдение vs немедленное реагирование
  • Реагирование в промышленных сетях (АСУ ТП)
  • Реагирование в облаках

8. Оценка эффективности процесса реагирования

  • Метрики

9. Нормативные требования по реагированию на инциденты

  • ФСТЭК России
  • ФСБ России / НКЦКИ / ГосСОПКА
  • Банк России
  • Международные стандарты

ПРЕПОДАВАТЕЛЬ КУРСА:

Лукацкий Алексей Викторович, ведущий российский эксперт в области информационной безопасности.