Систематизация процесса очень важна и этот момент очень хорошо показывает то, что зачастую люди, которым я задавал один простой вопрос, забывали о некоторых этапах работы с инцидентом. А вопрос был такой: «Представьте, что в разгар рабочего дня вам звонит админ Core-системы и говорит, что наблюдает как файлы на сервере на его глазах превращаются в «абракадабру. Ваши действия?»

 Некоторые вещи, о которых обычно забывали люди в такой ситуации:
• Забуду уведомить пользователей
• Отключу и забуду о «бизнесе»
• Не уточню, что папка сервера является сетевой
• Восстановлю из бэкапа – победа!
• Не догадаюсь о сетевом трафике
• Забуду вернуть в изначальное состояние
• Снова забуду уведомить пользователей
• Не проведу расследование пути заражения
• Никаких мер по неповторению
• Не подготовлю отчет для руководства/регулятора 
Поэтому человек, который не видит хотя бы ключевых и базовых моментов реагирования на инцидент ИБ - не подойдёт на должность специалиста по ИБ.

На сегодняшний день мы все озаботились SOC, и такому серьёзному отношению к SOC поспособствовали ряд динамичных процессов в бизнесе, которые вводят нас, как службу ИБ, в режим круглосуточного приоритетного реагирования на широкий спектр инцидентов:

Переход на цифровые каналы и 24/7 доступность для партнеров и клиентов
Инциденты недоступности сервисов в любое время суток
Аутсорсинг «не-основных» бизнес процессов
Инциденты взаимодействия с третьими сторонами
Удаленные сервисы (биометрия для клиентов, работа из дома для сотрудников)
Инциденты удаленной авторизации и аутентификации, утечки данных
Фокус на скорости вывода сервисов на рынок
Инциденты, связанные с принятием рисков и недостаточной проработкой решений

Краеугольный процесс ИБ – управление инцидентами

• Он привлекает СМИ и пестрит в новостях
• Он важен топ-менеджменту, им обосновывается ИБ 
• На основе него и для чего проводится риск-анализ и аудиты
• Это основная функция средств защиты
• Для этого выявляются уязвимости и угрозы

Вы управляете (или думаете, что…):
• Сбором части событий
• Действиями вашего персонала (частично)
• Конфигами ИБ-систем
• Правилами выявления подозрительных событий
• Информативностью метрик

Но вы не управляете:
• Самими инцидентами

Таким образом, наши цели управления инцидентами и реагирования на них:

Обеспечить оперативное выявление любых событий, способных повлиять на безопасность организации

Обеспечить необходимую реакцию на произошедшие события

Обеспечить быстрое устранение последствий реализации инцидента

Извлечь уроки и устранить причины, способные привести к повторной реализации инцидента (как технические, так и организационные)

Реагирование на инцидент подразумевает поиск ответов на следующие вопросы:
1. Кто ответственный? (рабочая группа и ответственный специалист)
2. Это точно инцидент? (проверка на false-positive)
3. Как остановить распространение инцидента? (локализация)
4. Как вернуться к нормальной работе? (ликвидация)
5. Почему произошел инцидент? (расследование)
6. Как не допустить в будущем? (Выводы)

Основные задачи автоматизации реагирования на инциденты это: агрегация информации обо всех инцидентах в едином окне оперативного реагирования, контроль активов и всех компонентов инфраструктуры для принятия решений и реагирования на кибератаки, оркестрация средств и технологий управления командой реагирования и процессами, а также отчетность и визуализация данных

Основные выводы:

Управление инцидентами – ключевой процесс ИБ

Необходимо стратегическое и тактическое планирование

Технологии и люди в SOC – вызов CISO как менеджеру и эксперту

Автоматизация – наше все - важен правильный выбор решения

Изучайте кейсы и обменивайтесь экспертизой

Настройте процесс обработки и реагирования на инциденты

Если вас заинтересовала это тема - можете посмотреть полную запись выступления:

Посмотреть запись выступления