Добавить новость
Январь 2010 Февраль 2010 Март 2010 Апрель 2010 Май 2010
Июнь 2010
Июль 2010 Август 2010 Сентябрь 2010
Октябрь 2010
Ноябрь 2010 Декабрь 2010 Январь 2011 Февраль 2011 Март 2011 Апрель 2011 Май 2011 Июнь 2011 Июль 2011 Август 2011 Сентябрь 2011 Октябрь 2011 Ноябрь 2011 Декабрь 2011 Январь 2012 Февраль 2012 Март 2012 Апрель 2012 Май 2012 Июнь 2012 Июль 2012 Август 2012 Сентябрь 2012 Октябрь 2012 Ноябрь 2012 Декабрь 2012 Январь 2013 Февраль 2013 Март 2013 Апрель 2013 Май 2013 Июнь 2013 Июль 2013 Август 2013 Сентябрь 2013 Октябрь 2013 Ноябрь 2013 Декабрь 2013 Январь 2014 Февраль 2014 Март 2014 Апрель 2014 Май 2014 Июнь 2014 Июль 2014 Август 2014 Сентябрь 2014 Октябрь 2014 Ноябрь 2014 Декабрь 2014 Январь 2015 Февраль 2015 Март 2015 Апрель 2015 Май 2015 Июнь 2015 Июль 2015 Август 2015 Сентябрь 2015 Октябрь 2015 Ноябрь 2015 Декабрь 2015 Январь 2016 Февраль 2016 Март 2016 Апрель 2016 Май 2016 Июнь 2016 Июль 2016 Август 2016 Сентябрь 2016 Октябрь 2016 Ноябрь 2016 Декабрь 2016 Январь 2017 Февраль 2017 Март 2017 Апрель 2017
Май 2017
Июнь 2017
Июль 2017
Август 2017 Сентябрь 2017 Октябрь 2017 Ноябрь 2017 Декабрь 2017 Январь 2018 Февраль 2018 Март 2018 Апрель 2018 Май 2018 Июнь 2018 Июль 2018 Август 2018 Сентябрь 2018 Октябрь 2018 Ноябрь 2018 Декабрь 2018 Январь 2019 Февраль 2019 Март 2019 Апрель 2019 Май 2019 Июнь 2019 Июль 2019 Август 2019 Сентябрь 2019 Октябрь 2019 Ноябрь 2019 Декабрь 2019 Январь 2020 Февраль 2020 Март 2020 Апрель 2020 Май 2020 Июнь 2020 Июль 2020 Август 2020 Сентябрь 2020 Октябрь 2020 Ноябрь 2020 Декабрь 2020 Январь 2021 Февраль 2021 Март 2021 Апрель 2021 Май 2021 Июнь 2021 Июль 2021 Август 2021 Сентябрь 2021 Октябрь 2021 Ноябрь 2021 Декабрь 2021 Январь 2022 Февраль 2022 Март 2022 Апрель 2022 Май 2022 Июнь 2022 Июль 2022 Август 2022 Сентябрь 2022 Октябрь 2022 Ноябрь 2022 Декабрь 2022 Январь 2023 Февраль 2023 Март 2023 Апрель 2023 Май 2023 Июнь 2023 Июль 2023 Август 2023 Сентябрь 2023 Октябрь 2023 Ноябрь 2023 Декабрь 2023 Январь 2024 Февраль 2024 Март 2024 Апрель 2024 Май 2024 Июнь 2024 Июль 2024 Август 2024 Сентябрь 2024 Октябрь 2024 Ноябрь 2024 Декабрь 2024 Январь 2025 Февраль 2025 Март 2025 Апрель 2025 Май 2025 Июнь 2025 Июль 2025 Август 2025 Сентябрь 2025 Октябрь 2025 Ноябрь 2025 Декабрь 2025 Январь 2026 Февраль 2026 Март 2026 Апрель 2026 Май 2026 Июнь 2026 Июль 2026
1 2 3 4 5 6 7 8 9 10 11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Новости 24 часа |

UDV Group: план реагирования на киберинцидент должен быть коротким и применимым в первые минуты атаки

Эксперт UDV Group рассказал, как компаниям выстроить минимально жизнеспособный план реагирования на киберинциденты и избежать хаоса в первые часы после обнаружения атаки.

План реагирования на киберинцидент нужен не для формального выполнения требований, а для принятия быстрых решений в ситуации, когда атака уже идет, масштаб ущерба неясен, а времени на согласования нет. Об этом рассказал Иван Бурмистров, пресейл-инженер UDV Group.

По словам эксперта, для компаний, которые только начинают выстраивать процессы информационной безопасности, план реагирования должен быть короткой рабочей инструкцией. В нем необходимо заранее определить, кто принимает решение об отключении сервера, сегмента сети или критичного сервиса, где находятся точки экстренного управления, по каким резервным каналам команда связывается при недоступности корпоративной почты или телефонии, что делает инженер первой линии и кто отвечает за уведомление руководства, юристов и регуляторов.

«Главное правило: план на три страницы, а не на тридцать. В нем должно остаться только то, что спасает, когда все “горит”. Кто и когда принимает решение об отключении, какие ключевые узлы нужны для сдерживания, какие резервные каналы связи есть у команды, что делает инженер первой линии и кто отвечает за информирование регулятора. Если в компании нет человека или четко обозначенной роли, которая в режиме “здесь и сейчас” может отключить зараженный сегмент, сервер или сеть без бесконечных согласований, наличие даже самого сильного SOC, SIEM или EDR становится бесполезным», - комментирует Иван Бурмистров, пресейл-инженер UDV Group.

В первые минуты после обнаружения атаки компании часто пытаются сразу разобраться, что произошло. Однако в «золотой час» приоритетом должно быть не расследование, а сдерживание угрозы. Команде необходимо ограничить движение атакующего, изолировать зараженный хост или сегмент на коммутаторе либо межсетевом экране и сохранить следы для дальнейшего анализа.

При этом трафик с хоста-жертвы следует запретить во все направления, оставив связь только с системами наблюдения, например SIEM и NTA. Такой подход дает специалистам возможность видеть события и сетевую активность, но не позволяет злоумышленнику использовать узел для дальнейшего продвижения по сети.

Параллельно необходимо заблокировать или отозвать учетные записи, которые могли быть скомпрометированы. В первую очередь это касается администраторов, сервисных аккаунтов и учетных записей с доступом к резервным копиям. Пароли нужно сбросить, активные сессии завершить. Если этого не сделать, атакующий может потерять один зараженный хост, но сохранить доступ к инфраструктуре через учетные данные.

«В первый час нужно забыть про полноценное расследование. Сначала - остановка кровотечения, потом диагноз. Команда должна изолировать зараженный сегмент, запретить трафик с хоста-жертвы на все, кроме систем наблюдения, заблокировать подозрительные учетные записи, завершить сессии, ограничить исходящий трафик и, если есть возможность, снять дамп оперативной памяти. Это не отменяет расследование, но дает шанс остановить распространение атаки и сохранить данные для анализа», - говорит Иван Бурмистров.

На периметре в такой ситуации стоит временно ужесточить правила исходящего трафика. Например, ограничить соединения со странами, с которыми у компании нет реальных бизнес-связей. При наличии EDR или sandbox с нужными функциями хосты можно перевести в режим, где разрешено только явно разрешенное. Если таких инструментов нет, часть ограничений можно реализовать через прокси или шлюз, например заблокировать передачу исполняемых файлов.

Отдельное действие, которое важно выполнить до перезагрузки зараженного устройства, - снятие дампа оперативной памяти. В RAM могут остаться запущенные процессы, открытые сетевые соединения, вредоносный код и учетные данные, которые не будут видны после выключения или перезапуска системы.

Технический плейбук для инженеров должен быть проще общего плана. В условиях инцидента специалисту нужны не длинные пояснения, а конкретные действия: куда зайти, какой интерфейс отключить, какое правило включить, какой сервис проверить. На этапе эрадикации плейбук должен помогать искать не только обнаруженный вредоносный файл, но и механизмы возврата злоумышленника.

Для Windows необходимо проверять задачи в планировщике, службы, WMI-подписки, ключи автозагрузки Run и RunOnce, папку Startup и подозрительные исполняемые файлы в пользовательских каталогах. Для Linux, включая Astra Linux, РЕД ОС и Альт СП, важно проверять добавленные SSH-ключи, cron-задачи, юниты systemd и измененные скрипты автозагрузки. Если удалить только вредоносный файл, но оставить бэкдор, атака может повториться.

Отдельное внимание компаниям нужно уделять коммуникации. В первые 15 минут ситуацию должен оценивать руководитель ИБ или ответственный за реагирование. В течение первого часа генеральный директор и юрист должны получить краткую сводку о критичности инцидента, возможном влиянии на бизнес-процессы, риске утечки данных и связи с КИИ, персональными данными или иной регулируемой информацией.

Техническая группа координирует сдерживание, эрадикацию и восстановление. PR готовит сценарии внешних сообщений, но не раскрывает технические детали. Уведомление регулятора, клиентов или партнеров возможно только после подтверждения ущерба и согласования с юристом.

Этап восстановления остается одной из самых рискованных точек реагирования. Типичная ошибка - восстановление из резервной копии, сделанной уже после проникновения. В этом случае компания может вернуть в работу не чистую систему, а среду с теми же закладками. Поэтому важны ротация бэкапов за 30 дней и понимание, какая точка восстановления была безопасной.

Еще одна ошибка - запуск исполняемых файлов, библиотек, драйверов или обновлений без проверки в изолированной среде. Даже если файл находится во внутреннем репозитории, он мог быть подменен злоумышленником. Также нельзя возвращать сервисы в онлайн до смены привилегированных паролей в Active Directory, на сетевом оборудовании, гипервизорах и системах резервного копирования.

«Возврат систем в онлайн нельзя воспринимать как простое восстановление из бэкапа. Сначала нужно убедиться, что резервная копия сделана до проникновения, затем проверить хосты EDR и антивирусом, посмотреть сетевой трафик за последние 72 часа после восстановления и вручную проверить ключевые серверы на скрытые механизмы автозапуска. Особенно важно сменить пароли в Active Directory и на сетевом оборудовании до включения сервисов. Если этого не сделать, злоумышленник может вернуться через оставленные учетные данные или бэкдоры», - подчеркивает Иван Бурмистров.

Минимальная проверка после восстановления должна включать полное сканирование хостов с расширенным поиском угроз, анализ сетевого трафика через NTA, межсетевой экран или IDS/IPS, а также ручную проверку критичных серверов. Особое внимание нужно уделять нехарактерным исходящим подключениям, каналам связи с командными серверами и скрытым туннелям, например внутри ICMP-пакетов. Для проверки автозагрузки на Windows-серверах можно использовать доступные инструменты вроде Autoruns из состава Sysinternals.

Если у компании нет собственного SOC или круглосуточной команды ИБ, часть задач можно автоматизировать или передать на аутсорс. Автоматизировать целесообразно обнаружение аномалий, первичную фильтрацию ложных срабатываний, временную блокировку по индикаторам компрометации и регулярную проверку восстановления из резервных копий.

На сторону MSSP можно передать круглосуточный мониторинг, первичную классификацию инцидентов, простые действия первой линии и периодический внешний аудит. При этом внутри компании должны оставаться решения об отключении критичных сервисов, доступ к резервным копиям и привилегированным учетным записям, коммуникация с регуляторами и юридическое оформление инцидента.

В UDV Group подчеркивают, что качество плана реагирования проверяется не количеством страниц, а применимостью в момент атаки. Дежурный инженер должен понимать, какой порт отключить, руководитель ИБ - кому звонить, юрист - какие факты уже подтверждены, а команда восстановления - из какой точки можно безопасно возвращать системы в работу. Такой подход не отменяет сам инцидент, но помогает компании управлять им и снижать ущерб.

Этот материал опубликован пользователем сайта через форму добавления новостей.
Ответственность за содержание материала несет автор публикации. Точка зрения автора может не совпадать с позицией редакции.

Читайте также

Россельхознадзор запретит ввоз семян томата французского производителя

В Кирове росгвардейцы задержали подозреваемого в краже товара

В Управлении Росгвардии по Ставропольскому краю подвели итоги служебно-боевой деятельности за первое полугодие 2026 года



Новости России
Ria.city
Moscow.media


Rss.plus




Новости тенниса

Спорт в России и мире


Новости Крыма на Sevpoisk.ru

Происшествия, события, анонсы, всё, что случилось сегодня, вчера, на этой неделе и всё, что предстоит увидеть завтра в России, в Украине, в мире — сейчас в новостях на Ru24.pro (прямой эфир, прямые публикации, прямые трансляции, мгновенные авторские публикации, полный календарный архив). Последние новости, статьи, объявления, блоги, комментарии, заметки, интервью, всё, о чём пишут, думают, говорят на русском— в режиме онлайн, здесь. Ru24.pro — всегда первые новости на русском.

Ru24.pro — реальные статьи от реальных источников в прямой трансляции (на русском) 24 часа в сутки с возможностью мгновенной авторской публикации в реальном времени и удобной для чтения форме.



Губернаторы России

Опубликовать свою новость сейчас можно самостоятельно, локально в любом городе России по любой тематике, на любом языке мира с мгновенной публикацией — здесь.


Музыкальные новости


Загрузка...

Спонсоры Ru24.pro