Расследование инцидентов

Расследование инцидентов информационной безопасности

Результаты расследования инцидента информационной безопасности позволяют установить обстоятельства, причины и условия совершения инцидента информационной безопасности. В рамках расследования определяется степень воздействия конкретных компьютерных информационных систем, а также действий или бездействий персонала, причастных к инциденту. Это даёт возможность восстановить максимально точную хронологию событий и воссоздать последовательность и системный проект действий злоумышленников.

Цели расследования
  • Подтверждение или опровержение факта инцидента.
  • Локализация и ликвидация последствий инцидента.
  • Установление виновных лиц, их мотивации, обеспечение возможности привлечения к ответственности.
  • Анализ инцидента и принятие мер по предотвращению подобных инцидентов в будущем.
  • Минимизация последствий и снижение рисков, возникших в результате инцидента.
  • Внедрение и совершенствование процессов эффективного реагирования на инциденты.
Information Security Incident Processing

Information Security Incident Processing

Методика расследования

При проведении проведения расследования специалисты компании проводят как минимум следующие виды работ:

  • Компьютерно-технический анализ исходных материалов и электронных свидетельств: образы жёстких дисков, лог-файлы, журналы действий и событий, дампы оперативной памяти и сетевого трафика на момент фиксации инцидента, письменные объяснения персонала по предпринятым действиям, имевших отношение к инциденту.
  • Идентификация всех скомпрометированных объектов и вероятных субъектов, имевших отношение к инциденту.
  • Cбор данных о взаимосвязях идентифицированных объектов расследования с другими элементами ИТ-инфраструктуры.
  • Реверс-инжиниринг выявленного вредоносного ПО и определение способов и механизмов проникновения. Воссоздание общесистемного проекта вредоносного ПО, алгоритмов работы на уровне распространения в сети и влияния на ОС.
  • Фиксирование этапов атаки, определение источников атаки, последовательности действий вероятных злоумышленников, степени вовлечённости информационных систем, информационного окружения и персонала Заказчика.
Заказать расследование инцидента ИБ