Группа быстрого реагирования
Мобильная группа быстрого реагирования на инциденты информационной безопасности
Цели
Мобильная группа быстрого реагирования на инциденты информационной безопасности готова оперативно приехать к заказчику, провести расследование инцидента, локализовать атаку, снизить потери и подготовить контрмеры для защиты инфраструктуры.
Сбор исходных данных и первичный анализ
Глубокий анализ и форензика критичных узлов
Корреляция событий, определение вектора атаки
Подготовка отчётов, рекомендаций
Этапы работ
5
Восстановление и предотвращение
- Рекомендации по очистке, патчингу, изменению конфигураций
- План по восстановлению из бэкапов
- Дополнительные меры защиты (2FA, сегментация, обновление политик)
- Отчёт по результатам работ
- Технический отчёт с деталями атаки
4
Определение сценария атаки
- Реконструкция цепочки событий
- Идентификация точек входа и методов перемещения атакующего
- Выявление скомпрометированных данных
3
Сбор и анализ данных
- Анализ журналов AD, серверов, рабочих станций, сетевых устройств
- Форензика дисков и памяти на затронутых системах
- Анализ артефактов вредоносного ПО
2
Изоляция и первичное реагирование
- Ограничение распространения угрозы
- Выявление и блокировка подозрительных учетных записей и IP
1
Подготовительный этап
- Сбор информации об инциденте (опрос, документация, схемы сети)
- Получение доступа к логам, SIEM, резервным копиям
- Определение приоритетных систем для анализа
