Как правильно реагировать на ИТ-инциденты: руководство к действию!

Рет қаралды 1,663

Күн бұрын

Чтобы продолжить изучение подписывайтесь на канал Топ Кибербезопасности t.me/+HHvIeYkQgyhiMWIy и этот youtube канал.
Сфокусируйтесь на быстром выявлении и расследовании инцидентов:
- Как классифицировать инцидент?
- Кто будет у вас расследовать инцидент?
- Как вы оцениваете ущерб от инцидента?
- Как вы будете реагировать?
00:00:00 Тизер
00:00:13 Приветствие
00:00:28 Типы инцидентов в компании и FIRST
00:00:43 FIRST предоставляет готовую классификацию инцидентов
00:00:54 CSIRT/SOC/CERT
00:01:04 Зачем расследовать инцидент?
00:01:35 Пример инцидента и неверного реагирования
00:01:52 Кто нужен, чтобы расследовать инцидент?
00:02:14 Есть курсы по расследованию инцидентов и сертификация
00:02:34 Сделай краткую готовую схему действий во время инцидента
00:03:18 Выключать системы или оставить включенными?
00:03:42 Триаж компьютерного инцидента требует сбора данных
00:04:04 Используйте разные реакции на разные инциденты
00:04:29 Готовьтесь к инцидентам заранее
00:04:38 Поддерживайте актуальную схему сети
00:04:47 Запустите проект по сегментации сети • Как правильно использо...
00:05:15 Используйте NTA для анализа внутреннего трафика
00:05:26 Запрещайте ненужные протоколы и ненужные подключения
00:05:44 BCP/DRP и CISSP
00:06:07 Создайте готовые схемы действий на случай критических ситуаций
00:06:23 Важность резервного ЦОД
00:06:38 Киберучения помогают подготовить персонал
00:06:55 Сколько и какие события собирать
00:07:30 Не нужно отправлять все абсолютно журналы в SIEM.
00:07:52 Используйте EDR и XDR для помощи в расследованиях
00:08:19 Утилиты для сбора информации grr, ptdumper, ptscanner ptresearch.media/articles/inc...
00:08:43 SOAR/IRP помогают расследовать инциденты
00:08:56 Важно понимать что является ущербом
00:09:59 Этап сбора информации, чтобы выполнить триаж
00:11:09 Плейбуки реагирования Societe General github.com/certsocietegeneral...
00:11:20 Восстановление инфраструктуры
00:11:58 Привлечение внешнего подрядчика
00:12:23 Уволят ли безопасника после инцидента?
00:12:34 Due diligence и due care
00:12:58 Типовые трудности в расследовании
00:13:29 Документируйте ваши действия и процессы
00:13:46 7 шагов расследования инцидентов
00:14:14 Важно иметь опытную команду
00:14:35 Пишите в комментариях вопросы

Пікірлер: 7

@cybers5963 2 ай бұрын

Фото обложки - огонь! Молодой такой)

@user-bj8hx1wv7i 2 ай бұрын

Спасибо. Очень заинтересовала тема дью дилидженс в ИБ. Есть какой-то алгоритм проверки добросовестности? Или у каждого своя совесть:)

@BDVSecurity 2 ай бұрын

due diiligence (должная осмотрительность) в ИБ означает, что вы, поступаете как человек, осознающий последствия своих поступков, то есть будете стремиться в сложившихся обстоятельствах избегать причинения вреда другим людям или имуществу. По сути это то, о чем вы думаете. dure care (должное отношение) означает, что вы предприняли шаги для обеспечения безопасности активов и сотрудников организации, а также того, что высшее руководство должным образом оценило и приняло на себя все озвученные вами риски. По сути это то, что вы делаете. Если вы следуете этому, то к вам не будет претензий в случае инцидента, а если вы проигнорировали, то к вам вопросы.

@user-kg3gb7gi5d 2 ай бұрын

Очень интересно и полезно. А можно как-нибудь подробнее рассмотреть написание регламентов реагирования на инциденты. От чего отталкиваться, какие моменты должны быть обязательно учтены. С кем согласовывать, как проверять из работоспособность. Заранее спасибо

@BDVSecurity 2 ай бұрын

Это целый запрос на консалтинг. Можно )