91 • 6 месяцев назад
Расследование IT-инцидентов: пошаговое руководство к действию
КОНЧИК! Щелкните правой кнопкой мыши и выберите "Save link as..." для загрузки.
Loading...
В компаниях случаются компьютерные инциденты различных типов. Это может быть фишинг в почте или в Телеграме, уничтожение или шифрование данных, распространение вредоносного кода или что-то еще. Денис Батранков, руководитель направления сетевой безопасности Positive Technologies, рассказывает о том, как облегчить себе жизнь во время подобных инцидентов.
Денис объясняет:
• зачем расследовать инцидент;
• как классифицировать инцидент;
• кто нужен, чтобы расследовать инцидент;
• как понять, нанесен ли ущерб.
Нужно учитывать, что каждый случай уникален, и именно глубина понимания и готовность к нестандартным решениям определяют успех в борьбе с киберпреступностью. Сфокусируйтесь на быстром выявлении и расследовании инцидентов, и это реально будет вашей важной миссией.
Таймкоды:
0:00 Тизер
0:20 Приветствие
0:35 Типы инцидентов в компании и FIRST
0:50 FIRST предоставляет готовую классификацию инцидентов
1:01 CSIRT/SOC/CERT
1:10 Зачем расследовать инцидент?
1:42 Пример инцидента и неверного реагирования
1:58 Кто нужен, чтобы расследовать инцидент?
2:20 Есть курсы по расследованию инцидентов и сертификация
2:40 Сделай краткую готовую схему действий во время инцидента
3:25 Выключать системы или оставить включенными?
3:49 Триаж компьютерного инцидента требует сбора данных
4:35 Готовьтесь к инцидентам заранее
4:45 Поддерживайте актуальную схему сети
4:53 Запустите проект по сегментации сети
5:21 Используйте NTA для анализа внутреннего трафика
5:33 Запрещайте ненужные протоколы и ненужные подключения
5:50 BCP/DRP и CISSP
6:13 Создайте готовые схемы действий на случай критических ситуаций
6:29 Важность резервного ЦОД
6:44 Киберучения помогают подготовить персонал
7:02 Сколько и какие события собирать
7:36 Не нужно отправлять все абсолютно журналы в SIEM.
8:06 Используйте EDR и XDR для помощи в расследованиях
8:26 Утилиты для сбора информации grr, ptdumper, ptscanner
8:49 SOAR/IRP помогают расследовать инциденты
9:02 Важно понимать что является ущербом
10:06 Этап сбора информации, чтобы выполнить триаж
11:15 Плейбуки реагирования Societe General https://github.com/certsocietegenerale/IRM
11:27 Восстановление инфраструктуры
12:07 Привлечение внешнего подрядчика
12:30 Уволят ли безопасника после инцидента?
12:41 Due diligence и due care
13:05 Типовые трудности в расследовании
13:36 Документируйте ваши действия и процессы
13:53 7 шагов расследования инцидентов
14:22 Важно иметь опытную команду
14:42 Пишите в комментариях вопросы
Денис объясняет:
• зачем расследовать инцидент;
• как классифицировать инцидент;
• кто нужен, чтобы расследовать инцидент;
• как понять, нанесен ли ущерб.
Нужно учитывать, что каждый случай уникален, и именно глубина понимания и готовность к нестандартным решениям определяют успех в борьбе с киберпреступностью. Сфокусируйтесь на быстром выявлении и расследовании инцидентов, и это реально будет вашей важной миссией.
Таймкоды:
0:00 Тизер
0:20 Приветствие
0:35 Типы инцидентов в компании и FIRST
0:50 FIRST предоставляет готовую классификацию инцидентов
1:01 CSIRT/SOC/CERT
1:10 Зачем расследовать инцидент?
1:42 Пример инцидента и неверного реагирования
1:58 Кто нужен, чтобы расследовать инцидент?
2:20 Есть курсы по расследованию инцидентов и сертификация
2:40 Сделай краткую готовую схему действий во время инцидента
3:25 Выключать системы или оставить включенными?
3:49 Триаж компьютерного инцидента требует сбора данных
4:35 Готовьтесь к инцидентам заранее
4:45 Поддерживайте актуальную схему сети
4:53 Запустите проект по сегментации сети
5:21 Используйте NTA для анализа внутреннего трафика
5:33 Запрещайте ненужные протоколы и ненужные подключения
5:50 BCP/DRP и CISSP
6:13 Создайте готовые схемы действий на случай критических ситуаций
6:29 Важность резервного ЦОД
6:44 Киберучения помогают подготовить персонал
7:02 Сколько и какие события собирать
7:36 Не нужно отправлять все абсолютно журналы в SIEM.
8:06 Используйте EDR и XDR для помощи в расследованиях
8:26 Утилиты для сбора информации grr, ptdumper, ptscanner
8:49 SOAR/IRP помогают расследовать инциденты
9:02 Важно понимать что является ущербом
10:06 Этап сбора информации, чтобы выполнить триаж
11:15 Плейбуки реагирования Societe General https://github.com/certsocietegenerale/IRM
11:27 Восстановление инфраструктуры
12:07 Привлечение внешнего подрядчика
12:30 Уволят ли безопасника после инцидента?
12:41 Due diligence и due care
13:05 Типовые трудности в расследовании
13:36 Документируйте ваши действия и процессы
13:53 7 шагов расследования инцидентов
14:22 Важно иметь опытную команду
14:42 Пишите в комментариях вопросы
Архив Х
01:49:10
OTUS. Онлайн-образование
17:22
24:34
Антон Поляков. Poly invest
Телеканал «СПАС»
18:31
Wylsacom
29:18
Кеосаян daily
01:19:05
TacticMedia
22:58
Навигатор абитуриента 2024 - EduNetwork.ru
29:52
Дмитрий Пучков
11:03
ГОСЗАКАЗ ТВ - экономика и общество
CyberYozh
CISOCLUB - информационная безопасность