🔍 Процесс расследования инцидента ИБ

🚨 Обнаружение и триаж

⏱️ 0-15 минут

Первичная оценка события и определение, является ли оно инцидентом

  • Получение алерта из SIEM/IDS/Антивируса
  • Первичный анализ индикаторов
  • Определение критичности
  • Классификация типа инцидента
  • Эскалация при необходимости
🛠️ Инструменты:
SIEM TheHive SOAR Ticketing System
1

🔐 Изоляция и сдерживание

⏱️ 15-60 минут

Предотвращение распространения угрозы и минимизация ущерба

  • Изоляция зараженных хостов
  • Блокировка вредоносных IP/URL
  • Отключение скомпрометированных учетных записей
  • Создание снимков систем для форензики
  • Сохранение volatile данных
🛠️ Инструменты:
EDR/XDR Firewall AD/LDAP Network TAP
2

📊 Сбор данных

⏱️ 1-4 часа

Сбор всех артефактов и улик для полного анализа инцидента

  • Сбор логов с затронутых систем
  • Дампы памяти и процессов
  • Сетевые пакеты (PCAP)
  • Копии вредоносных файлов
  • Timeline событий
  • Конфигурации систем
🛠️ Инструменты:
WinPMEM Volatility tcpdump/Wireshark KAPE Velociraptor
3

🔬 Анализ и расследование

⏱️ 4-24 часа

Детальный анализ собранных данных для понимания полной картины атаки

  • Анализ малвари (статический/динамический)
  • Форензика памяти и дисков
  • Анализ сетевого трафика
  • Определение IOC и TTP
  • Построение Kill Chain атаки
  • Идентификация patient zero
🛠️ Инструменты:
IDA Pro/Ghidra Cuckoo Sandbox Timeline Explorer YARA CyberChef
4

🧹 Устранение угрозы

⏱️ 2-8 часов

Полное удаление следов злоумышленника из инфраструктуры

  • Удаление вредоносных файлов
  • Очистка persistence механизмов
  • Сброс скомпрометированных паролей
  • Закрытие уязвимостей
  • Удаление backdoors
  • Проверка на латеральное движение
🛠️ Инструменты:
Antivirus/EDR PowerShell Sysinternals GPO
5

🔄 Восстановление

⏱️ 1-4 часа

Возвращение систем к нормальной работе и мониторинг

  • Восстановление из бэкапов при необходимости
  • Возврат систем в продакшн
  • Усиленный мониторинг
  • Проверка функциональности
  • Обновление правил детектирования
🛠️ Инструменты:
Backup Systems Monitoring Tools SIEM Rules Health Checks
6

📝 Lessons Learned

⏱️ После инцидента

Анализ инцидента для улучшения процессов безопасности

  • Создание детального отчета
  • Root Cause Analysis (RCA)
  • Обновление playbooks
  • Обучение команды
  • Улучшение превентивных мер
  • Sharing IOCs с сообществом
🛠️ Инструменты:
Wiki/Confluence MISP Report Templates TIP
7

🎯 Типы инцидентов и приоритеты

RansomwareCritical

Шифрование данных с требованием выкупа. Требует немедленной изоляции и восстановления из бэкапов.

Data BreachCritical

Утечка конфиденциальных данных. Необходим анализ объема утечки и уведомление регулятора.

APT ActivityHigh

Продвинутая постоянная угроза. Требует глубокого анализа и threat hunting.

Malware InfectionMedium

Заражение вредоносным ПО. Изоляция, анализ и очистка системы.

PhishingMedium

Фишинговая атака. Блокировка URL, проверка других жертв.

DDoSHigh

Атака на доступность. Активация DDoS-защиты, анализ паттернов.

📊 Ключевые метрики реагирования

15 мин
Mean Time to Detect (MTTD)
30 мин
Mean Time to Respond (MTTR)
2 часа
Mean Time to Contain (MTTC)
24 часа
Mean Time to Resolve (MTTR)