Анатомия кибератаки: как расследовать инциденты в ИБ

Когда происходит киберинцидент, счет идет на минуты. Успешное расследование зависит не только от инструментов и логов, но и от слаженности команды, грамотной фиксации следов и способности быстро выдвигать и проверять гипотезы. Как действовать в первые часы? Что делать, если журналы удалены, а вредонос уже стер свои следы? Где взять данные, как строить цепочку атаки и какие выводы сделать, чтобы не наступить на те же грабли снова?

В прямом эфире AM Live мы обсудим реальные кейсы технических расследований, полезные инструменты, приемы цифровой криминалистики, а также поговорим о системных ошибках, которые всплывают после атак. Уделим внимание и будущему расследований: каким оно будет через 2–3 года и как изменится под влиянием ИИ и автоматизации.

Ключевые вопросы дискуссии:

1. С чего начинается расследование?
   
   • С какой минуты после инцидента начинается расследование и какие задачи стоят в первые часы?
   • Кто и в каком составе должен быть вовлечен в расследование?
   • Какие навыки наиболее востребованы у технических специалистов при инцидентах?
   • Чем отличается анализ «живого» инцидента от постфактум-расследования?
   • Как формализовать и задокументировать расследование - пригодится ли это в суде, для регулятора, для внутреннего разбора?
   • Где брать информацию для расследования: сетевые логи, SIEM, EDR, NetFlow, дампы, скрипты?
   • Какие инструменты и утилиты чаще всего применяются: open source vs коммерческие продукты?
   • Что можно узнать, если SIEM не настроен или журналы были стерты?
   • Где тонко - там и рвется: как подготовить инфраструктуру, чтобы потом было что расследовать?
2. Практика расследования инцидентов
   
   • Какие артефакты и признаки чаще всего приводят к раскрытию цепочки атаки?
   • Блиц. Реальные истории: атаки, которые «восстанавливали по крупицам».
   • Какие сигналы указывают, что инцидент требует эскалации на уровень топ-менеджмента или антикризисного штаба?
   • Как проводить атрибуцию - нужно ли это на самом деле?
   • Что делать, если следы были полностью затерты злоумышленниками или неаккуратными действиями ИТ?
   • Какие инциденты сложнее всего расследовать?
   • Какие системные ошибки чаще всего выявляются в результате расследования?
   • Почему одни атаки раскрываются за 2 часа, а другие - через 2 месяца?
   • Как перевести выводы расследования в конкретные меры усиления защиты?
   • Кто должен готовить итоговое резюме расследования - и как его правильно презентовать?
3. Будущее расследования инцидентов
   
   • Какие технологии поменяют подход к расследованиям инцидентов?
   • Будет ли сформирована национальная методика или стандарт расследований инцидентов?
   • Появятся ли платформы или сервисы, которые закроют цикл «обнаружение - расследование - устранение последствий»?

Приглашенные эксперты:

Модераторы: