Добавить новость
Февраль 2010 Март 2010 Апрель 2010
Май 2010
Июнь 2010 Июль 2010 Август 2010
Сентябрь 2010
Октябрь 2010
Ноябрь 2010 Декабрь 2010
Январь 2011
Февраль 2011 Март 2011 Апрель 2011 Май 2011 Июнь 2011
Июль 2011
Август 2011 Сентябрь 2011 Октябрь 2011 Ноябрь 2011 Декабрь 2011 Январь 2012 Февраль 2012 Март 2012 Апрель 2012 Май 2012 Июнь 2012 Июль 2012 Август 2012 Сентябрь 2012 Октябрь 2012 Ноябрь 2012 Декабрь 2012 Январь 2013 Февраль 2013 Март 2013 Апрель 2013 Май 2013 Июнь 2013 Июль 2013 Август 2013 Сентябрь 2013 Октябрь 2013 Ноябрь 2013 Декабрь 2013 Январь 2014 Февраль 2014 Март 2014 Апрель 2014 Май 2014 Июнь 2014 Июль 2014 Август 2014 Сентябрь 2014 Октябрь 2014 Ноябрь 2014 Декабрь 2014 Январь 2015 Февраль 2015 Март 2015 Апрель 2015 Май 2015 Июнь 2015 Июль 2015 Август 2015 Сентябрь 2015 Октябрь 2015 Ноябрь 2015 Декабрь 2015 Январь 2016 Февраль 2016 Март 2016 Апрель 2016 Май 2016 Июнь 2016 Июль 2016 Август 2016 Сентябрь 2016 Октябрь 2016 Ноябрь 2016 Декабрь 2016 Январь 2017 Февраль 2017 Март 2017 Апрель 2017 Май 2017 Июнь 2017 Июль 2017 Август 2017 Сентябрь 2017 Октябрь 2017 Ноябрь 2017 Декабрь 2017 Январь 2018 Февраль 2018 Март 2018 Апрель 2018 Май 2018 Июнь 2018 Июль 2018 Август 2018 Сентябрь 2018 Октябрь 2018 Ноябрь 2018 Декабрь 2018 Январь 2019 Февраль 2019 Март 2019 Апрель 2019 Май 2019 Июнь 2019 Июль 2019 Август 2019 Сентябрь 2019 Октябрь 2019 Ноябрь 2019 Декабрь 2019 Январь 2020 Февраль 2020 Март 2020 Апрель 2020 Май 2020 Июнь 2020 Июль 2020 Август 2020 Сентябрь 2020 Октябрь 2020 Ноябрь 2020 Декабрь 2020 Январь 2021 Февраль 2021 Март 2021 Апрель 2021 Май 2021 Июнь 2021 Июль 2021 Август 2021 Сентябрь 2021 Октябрь 2021 Ноябрь 2021 Декабрь 2021 Январь 2022 Февраль 2022 Март 2022 Апрель 2022 Май 2022 Июнь 2022 Июль 2022 Август 2022 Сентябрь 2022 Октябрь 2022 Ноябрь 2022 Декабрь 2022 Январь 2023 Февраль 2023 Март 2023 Апрель 2023 Май 2023 Июнь 2023 Июль 2023 Август 2023 Сентябрь 2023 Октябрь 2023 Ноябрь 2023 Декабрь 2023 Январь 2024 Февраль 2024 Март 2024 Апрель 2024 Май 2024 Июнь 2024 Июль 2024 Август 2024 Сентябрь 2024 Октябрь 2024 Ноябрь 2024 Декабрь 2024 Январь 2025 Февраль 2025 Март 2025 Апрель 2025 Май 2025 Июнь 2025 Июль 2025 Август 2025 Сентябрь 2025 Октябрь 2025 Ноябрь 2025 Декабрь 2025 Январь 2026 Февраль 2026 Март 2026 Апрель 2026 Май 2026 Июнь 2026 Июль 2026
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

Поиск города

Ничего не найдено

UDV Group: план реагирования на киберинцидент должен быть коротким и применимым в первые минуты атаки

0 650

Эксперт UDV Group рассказал, как компаниям выстроить минимально жизнеспособный план реагирования на киберинциденты и избежать хаоса в первые часы после обнаружения атаки.

План реагирования на киберинцидент нужен не для формального выполнения требований, а для принятия быстрых решений в ситуации, когда атака уже идет, масштаб ущерба неясен, а времени на согласования нет. Об этом рассказал Иван Бурмистров, пресейл-инженер UDV Group.

По словам эксперта, для компаний, которые только начинают выстраивать процессы информационной безопасности, план реагирования должен быть короткой рабочей инструкцией. В нем необходимо заранее определить, кто принимает решение об отключении сервера, сегмента сети или критичного сервиса, где находятся точки экстренного управления, по каким резервным каналам команда связывается при недоступности корпоративной почты или телефонии, что делает инженер первой линии и кто отвечает за уведомление руководства, юристов и регуляторов.

«Главное правило: план на три страницы, а не на тридцать. В нем должно остаться только то, что спасает, когда все “горит”. Кто и когда принимает решение об отключении, какие ключевые узлы нужны для сдерживания, какие резервные каналы связи есть у команды, что делает инженер первой линии и кто отвечает за информирование регулятора. Если в компании нет человека или четко обозначенной роли, которая в режиме “здесь и сейчас” может отключить зараженный сегмент, сервер или сеть без бесконечных согласований, наличие даже самого сильного SOC, SIEM или EDR становится бесполезным», - комментирует Иван Бурмистров, пресейл-инженер UDV Group.

В первые минуты после обнаружения атаки компании часто пытаются сразу разобраться, что произошло. Однако в «золотой час» приоритетом должно быть не расследование, а сдерживание угрозы. Команде необходимо ограничить движение атакующего, изолировать зараженный хост или сегмент на коммутаторе либо межсетевом экране и сохранить следы для дальнейшего анализа.

При этом трафик с хоста-жертвы следует запретить во все направления, оставив связь только с системами наблюдения, например SIEM и NTA. Такой подход дает специалистам возможность видеть события и сетевую активность, но не позволяет злоумышленнику использовать узел для дальнейшего продвижения по сети.

Параллельно необходимо заблокировать или отозвать учетные записи, которые могли быть скомпрометированы. В первую очередь это касается администраторов, сервисных аккаунтов и учетных записей с доступом к резервным копиям. Пароли нужно сбросить, активные сессии завершить. Если этого не сделать, атакующий может потерять один зараженный хост, но сохранить доступ к инфраструктуре через учетные данные.

«В первый час нужно забыть про полноценное расследование. Сначала - остановка кровотечения, потом диагноз. Команда должна изолировать зараженный сегмент, запретить трафик с хоста-жертвы на все, кроме систем наблюдения, заблокировать подозрительные учетные записи, завершить сессии, ограничить исходящий трафик и, если есть возможность, снять дамп оперативной памяти. Это не отменяет расследование, но дает шанс остановить распространение атаки и сохранить данные для анализа», - говорит Иван Бурмистров.

На периметре в такой ситуации стоит временно ужесточить правила исходящего трафика. Например, ограничить соединения со странами, с которыми у компании нет реальных бизнес-связей. При наличии EDR или sandbox с нужными функциями хосты можно перевести в режим, где разрешено только явно разрешенное. Если таких инструментов нет, часть ограничений можно реализовать через прокси или шлюз, например заблокировать передачу исполняемых файлов.

Отдельное действие, которое важно выполнить до перезагрузки зараженного устройства, - снятие дампа оперативной памяти. В RAM могут остаться запущенные процессы, открытые сетевые соединения, вредоносный код и учетные данные, которые не будут видны после выключения или перезапуска системы.

Технический плейбук для инженеров должен быть проще общего плана. В условиях инцидента специалисту нужны не длинные пояснения, а конкретные действия: куда зайти, какой интерфейс отключить, какое правило включить, какой сервис проверить. На этапе эрадикации плейбук должен помогать искать не только обнаруженный вредоносный файл, но и механизмы возврата злоумышленника.

Для Windows необходимо проверять задачи в планировщике, службы, WMI-подписки, ключи автозагрузки Run и RunOnce, папку Startup и подозрительные исполняемые файлы в пользовательских каталогах. Для Linux, включая Astra Linux, РЕД ОС и Альт СП, важно проверять добавленные SSH-ключи, cron-задачи, юниты systemd и измененные скрипты автозагрузки. Если удалить только вредоносный файл, но оставить бэкдор, атака может повториться.

Отдельное внимание компаниям нужно уделять коммуникации. В первые 15 минут ситуацию должен оценивать руководитель ИБ или ответственный за реагирование. В течение первого часа генеральный директор и юрист должны получить краткую сводку о критичности инцидента, возможном влиянии на бизнес-процессы, риске утечки данных и связи с КИИ, персональными данными или иной регулируемой информацией.

Техническая группа координирует сдерживание, эрадикацию и восстановление. PR готовит сценарии внешних сообщений, но не раскрывает технические детали. Уведомление регулятора, клиентов или партнеров возможно только после подтверждения ущерба и согласования с юристом.

Этап восстановления остается одной из самых рискованных точек реагирования. Типичная ошибка - восстановление из резервной копии, сделанной уже после проникновения. В этом случае компания может вернуть в работу не чистую систему, а среду с теми же закладками. Поэтому важны ротация бэкапов за 30 дней и понимание, какая точка восстановления была безопасной.

Еще одна ошибка - запуск исполняемых файлов, библиотек, драйверов или обновлений без проверки в изолированной среде. Даже если файл находится во внутреннем репозитории, он мог быть подменен злоумышленником. Также нельзя возвращать сервисы в онлайн до смены привилегированных паролей в Active Directory, на сетевом оборудовании, гипервизорах и системах резервного копирования.

«Возврат систем в онлайн нельзя воспринимать как простое восстановление из бэкапа. Сначала нужно убедиться, что резервная копия сделана до проникновения, затем проверить хосты EDR и антивирусом, посмотреть сетевой трафик за последние 72 часа после восстановления и вручную проверить ключевые серверы на скрытые механизмы автозапуска. Особенно важно сменить пароли в Active Directory и на сетевом оборудовании до включения сервисов. Если этого не сделать, злоумышленник может вернуться через оставленные учетные данные или бэкдоры», - подчеркивает Иван Бурмистров.

Минимальная проверка после восстановления должна включать полное сканирование хостов с расширенным поиском угроз, анализ сетевого трафика через NTA, межсетевой экран или IDS/IPS, а также ручную проверку критичных серверов. Особое внимание нужно уделять нехарактерным исходящим подключениям, каналам связи с командными серверами и скрытым туннелям, например внутри ICMP-пакетов. Для проверки автозагрузки на Windows-серверах можно использовать доступные инструменты вроде Autoruns из состава Sysinternals.

Если у компании нет собственного SOC или круглосуточной команды ИБ, часть задач можно автоматизировать или передать на аутсорс. Автоматизировать целесообразно обнаружение аномалий, первичную фильтрацию ложных срабатываний, временную блокировку по индикаторам компрометации и регулярную проверку восстановления из резервных копий.

На сторону MSSP можно передать круглосуточный мониторинг, первичную классификацию инцидентов, простые действия первой линии и периодический внешний аудит. При этом внутри компании должны оставаться решения об отключении критичных сервисов, доступ к резервным копиям и привилегированным учетным записям, коммуникация с регуляторами и юридическое оформление инцидента.

В UDV Group подчеркивают, что качество плана реагирования проверяется не количеством страниц, а применимостью в момент атаки. Дежурный инженер должен понимать, какой порт отключить, руководитель ИБ - кому звонить, юрист - какие факты уже подтверждены, а команда восстановления - из какой точки можно безопасно возвращать системы в работу. Такой подход не отменяет сам инцидент, но помогает компании управлять им и снижать ущерб.

Этот материал опубликован пользователем сайта через форму добавления новостей.
Ответственность за содержание материала несет автор публикации. Точка зрения автора может не совпадать с позицией редакции.




Все города России от А до Я

Загрузка...

Москва на Moscow.media

Читайте также

В тренде на этой неделе

Не копи, купи: «Выберу.ру» составил рейтинг лучших автокредитов без первого взноса летом 2026 года

От песни «Свеча» до возложения цветов: в Самаре увековечили память Николая II

Russiabase: в 13 регионах России улучшилась ситуация с топливом

Пластический хирург Софья Абдулаева: ошибки в уходе за кожей после солнца, которые крадут молодость

Новости Москвы



Мэр Москвы Сергей Собянин

Частные объявления в Москве



Загрузка...
Ria.city
Rss.plus


Новости последнего часа со всей страны в непрерывном режиме 24/7 — здесь и сейчас с возможностью самостоятельной быстрой публикации интересных "живых" материалов из Вашего города и региона. Все новости, как они есть — честно, оперативно, без купюр.




Москва на Russian.city


News-Life — паблик новостей в календарном формате на основе технологичной новостной информационно-поисковой системы с элементами искусственного интеллекта, тематического отбора и возможностью мгновенной публикации авторского контента в режиме Free Public. News-Life — ваши новости сегодня и сейчас. Опубликовать свою новость в любом городе и регионе можно мгновенно — здесь.
© News-Life — оперативные новости с мест событий по всей России (ежеминутное обновление, авторский контент, мгновенная публикация) с архивом и поиском по городам и регионам при помощи современных инженерных решений и алгоритмов от NL, с использованием технологических элементов самообучающегося "искусственного интеллекта" при информационной ресурсной поддержке международной веб-группы 103news.com в партнёрстве с сайтом SportsWeek.org и проектами: "Love", News24, Ru24.pro, Russia24.pro и др.