The ‎document‏ ‎titled ‎«Navigating ‎the ‎Maze ‎of‏ ‎Incident ‎Response»‏ ‎by‏ ‎Microsoft ‎Security provides ‎a‏ ‎guide ‎on‏ ‎how ‎to ‎structure ‎an‏ ‎incident‏ ‎response ‎(IR)‏ ‎effectively. ‎It‏ ‎emphasizes ‎the ‎importance ‎of ‎people‏ ‎and‏ ‎processes ‎in‏ ‎responding ‎to‏ ‎a ‎cybersecurity ‎incident.

So, ‎here’s ‎the‏ ‎deal:‏ ‎cyber‏ ‎security ‎incidents‏ ‎are ‎as‏ ‎inevitable ‎as‏ ‎your‏ ‎phone ‎battery‏ ‎dying ‎at ‎the ‎most ‎inconvenient‏ ‎time. ‎And‏ ‎just‏ ‎like ‎you ‎need‏ ‎a ‎plan‏ ‎for ‎when ‎your ‎phone‏ ‎kicks‏ ‎the ‎bucket‏ ‎(buy ‎a‏ ‎power ‎bank, ‎maybe?), ‎you ‎need‏ ‎a‏ ‎plan ‎for‏ ‎when ‎cyber‏ ‎incidents ‎occur. ‎This ‎guide ‎is‏ ‎all‏ ‎about‏ ‎that ‎plan,‏ ‎focusing ‎on‏ ‎the ‎people‏ ‎and‏ ‎processes ‎involved‏ ‎in ‎effectively ‎responding ‎to ‎an‏ ‎incident.

Now, ‎as‏ ‎enterprise‏ ‎networks ‎grow ‎in‏ ‎size ‎and‏ ‎complexity, ‎securing ‎them ‎becomes‏ ‎as‏ ‎challenging ‎as‏ ‎finding ‎a‏ ‎needle ‎in ‎a ‎haystack. ‎The‏ ‎incident‏ ‎response ‎process‏ ‎becomes ‎a‏ ‎maze ‎that ‎security ‎professionals ‎must‏ ‎navigate‏ ‎(and‏ ‎only ‎a‏ ‎quarter ‎of‏ ‎organizations ‎have‏ ‎an‏ ‎incident ‎response‏ ‎plan, ‎and ‎you ‎are ‎not‏ ‎yet ‎one‏ ‎of‏ ‎them).

This ‎guide, ‎developed‏ ‎by ‎the‏ ‎Microsoft ‎Incident ‎Response ‎team,‏ ‎is‏ ‎designed ‎to‏ ‎help ‎you‏ ‎avoid ‎common ‎pitfalls ‎during ‎the‏ ‎outset‏ ‎of ‎a‏ ‎response. ‎It’s‏ ‎not ‎meant ‎to ‎replace ‎comprehensive‏ ‎incident‏ ‎response‏ ‎planning, ‎but‏ ‎rather ‎to‏ ‎serve ‎as‏ ‎a‏ ‎tactical ‎guide‏ ‎to ‎help ‎both ‎security ‎teams‏ ‎and ‎senior‏ ‎stakeholders‏ ‎navigate ‎an ‎incident‏ ‎response ‎investigation.

The‏ ‎guide ‎also ‎outlines ‎the‏ ‎incident‏ ‎response ‎lifecycle,‏ ‎which ‎includes‏ ‎preparation, ‎detection, ‎containment, ‎eradication, ‎recovery,‏ ‎and‏ ‎post-incident ‎activity‏ ‎or ‎lessons‏ ‎learned. ‎It’s ‎like ‎a ‎recipe‏ ‎for‏ ‎disaster‏ ‎management, ‎with‏ ‎each ‎step‏ ‎as ‎crucial‏ ‎as‏ ‎the ‎next.

The‏ ‎guide ‎also ‎emphasizes ‎the ‎importance‏ ‎of ‎governance‏ ‎and‏ ‎the ‎roles ‎of‏ ‎different ‎stakeholders‏ ‎in ‎the ‎incident ‎response‏ ‎process.‏ ‎It’s ‎like‏ ‎a ‎well-oiled‏ ‎machine, ‎with ‎each ‎part ‎playing‏ ‎a‏ ‎crucial ‎role‏ ‎in ‎the‏ ‎overall ‎function.

Here ‎are ‎key ‎points:

❇️Cybersecurity‏ ‎incidents‏ ‎are‏ ‎inevitable: ‎The‏ ‎document ‎starts‏ ‎with ‎the‏ ‎groundbreaking‏ ‎revelation ‎that‏ ‎cybersecurity ‎incidents ‎are, ‎in ‎fact,‏ ‎inevitable. ‎Who‏ ‎would‏ ‎have ‎thought? ‎It’s‏ ‎almost ‎as‏ ‎if ‎we ‎live ‎in‏ ‎a‏ ‎world ‎where‏ ‎cyber ‎threats‏ ‎are ‎a ‎daily ‎occurrence

❇️Only ‎26%‏ ‎of‏ ‎organizations ‎have‏ ‎a ‎consistently‏ ‎applied ‎IR ‎plan: ‎The ‎document‏ ‎cites‏ ‎an‏ ‎IBM ‎study‏ ‎that ‎found‏ ‎only ‎26%‏ ‎of‏ ‎organizations ‎have‏ ‎an ‎incident ‎response ‎plan ‎that‏ ‎is ‎consistently‏ ‎applied.‏ ‎It’s ‎comforting ‎to‏ ‎know ‎that‏ ‎nearly ‎three-quarters ‎of ‎organizations‏ ‎are‏ ‎have ‎decided‏ ‎to ‎effectively‏ ‎save ‎their ‎resources ‎and ‎money

❇️The‏ ‎importance‏ ‎of ‎people-centric‏ ‎incident ‎response:‏ ‎The ‎document ‎emphasizes ‎the ‎importance‏ ‎of‏ ‎a‏ ‎people-centric ‎approach‏ ‎to ‎incident‏ ‎response. ‎It’s‏ ‎not‏ ‎just ‎about‏ ‎the ‎technology, ‎but ‎also ‎about‏ ‎the ‎people‏ ‎who‏ ‎use ‎it. ‎It’s‏ ‎a ‎good‏ ‎thing ‎we ‎have ‎this‏ ‎guide‏ ‎to ‎remind‏ ‎us ‎that‏ ‎people ‎are ‎involved ‎in ‎processes‏ ‎and‏ ‎that ‎there‏ ‎will ‎always‏ ‎be ‎something ‎to ‎keep ‎people‏ ‎busy‏ ‎and‏ ‎the ‎HR‏ ‎department ‎to‏ ‎find ‎new‏ ‎people‏ ‎for ‎new‏ ‎involvement

❇️The ‎need ‎for ‎clear ‎roles‏ ‎and ‎responsibilities:‏ ‎The‏ ‎document ‎stresses ‎the‏ ‎importance ‎of‏ ‎clear ‎roles ‎and ‎responsibilities‏ ‎in‏ ‎an ‎incident‏ ‎response. ‎It’s‏ ‎almost ‎as ‎if ‎people ‎work‏ ‎better‏ ‎when ‎they‏ ‎know ‎what‏ ‎they’re ‎supposed ‎to ‎be ‎doing,‏ ‎and‏ ‎yet‏ ‎management ‎still‏ ‎believes ‎that‏ ‎employees ‎can‏ ‎guess‏ ‎everything, ‎but‏ ‎Microsoft ‎politely ‎reminds ‎the ‎truisms.

❇️The‏ ‎incident ‎response‏ ‎maze:‏ ‎The ‎document ‎likens‏ ‎the ‎incident‏ ‎response ‎process ‎to ‎navigating‏ ‎a‏ ‎maze. ‎Because‏ ‎nothing ‎says‏ ‎«efficient ‎process» ‎like ‎a ‎structure‏ ‎designed‏ ‎to ‎confuse‏ ‎and ‎misdirect‏ ‎(The ‎sales ‎department ‎has ‎already‏ ‎received‏ ‎an‏ ‎award ‎for‏ ‎IR ‎leadership,‏ ‎hasn’t ‎you?)

❇️The‏ ‎importance‏ ‎of ‎preserving‏ ‎evidence: ‎The ‎document ‎highlights ‎the‏ ‎importance ‎of‏ ‎preserving‏ ‎evidence ‎after ‎a‏ ‎breach. ‎It’s‏ ‎a ‎good ‎thing ‎they‏ ‎mentioned‏ ‎it, ‎otherwise,‏ ‎we ‎might‏ ‎have ‎just ‎thrown ‎all ‎that‏ ‎valuable‏ ‎data ‎away

❇️The‏ ‎need ‎for‏ ‎a ‎response ‎model: ‎The ‎document‏ ‎suggests‏ ‎that‏ ‎organizations ‎should‏ ‎define ‎a‏ ‎response ‎model‏ ‎to‏ ‎manage ‎the‏ ‎incident. ‎It’s ‎almost ‎as ‎if‏ ‎having ‎a‏ ‎plan‏ ‎is ‎better ‎than‏ ‎not ‎having‏ ‎one ‎(get ‎busy ‎already).

❇️The‏ ‎need‏ ‎for ‎dedicated‏ ‎resources: ‎The‏ ‎document ‎suggests ‎that ‎organizations ‎should‏ ‎secure‏ ‎dedicated ‎resources‏ ‎for ‎incident‏ ‎response. ‎Because ‎apparently, ‎asking ‎your‏ ‎IT‏ ‎team‏ ‎to ‎handle‏ ‎a ‎major‏ ‎cybersecurity ‎incident‏ ‎in‏ ‎their ‎spare‏ ‎time ‎is ‎not ‎going ‎to‏ ‎work ‎as‏ ‎an‏ ‎approach ‎anymore.

❇️The ‎importance‏ ‎of ‎communication:‏ ‎The ‎document ‎emphasizes ‎the‏ ‎importance‏ ‎of ‎communication‏ ‎during ‎a‏ ‎cybersecurity ‎incident. ‎Because ‎it’s ‎not‏ ‎like‏ ‎people ‎need‏ ‎to ‎be‏ ‎kept ‎informed ‎during ‎a ‎crisis‏ ‎or‏ ‎anything‏ ‎(but ‎if‏ ‎they ‎wanted‏ ‎to, ‎they‏ ‎would‏ ‎have ‎guessed‏ ‎it ‎themselves).

So, ‎how ‎can ‎organizations‏ ‎ensure ‎their‏ ‎incident‏ ‎response ‎plan ‎is‏ ‎flexible ‎enough‏ ‎to ‎adapt ‎to ‎changing‏ ‎circumstances?‏ ‎Well, ‎it’s‏ ‎like ‎trying‏ ‎to ‎predict ‎the ‎weather ‎—‏ ‎you‏ ‎can’t ‎control‏ ‎it, ‎but‏ ‎you ‎can ‎prepare ‎for ‎it.

❇️Regularly‏ ‎review‏ ‎and‏ ‎update ‎the‏ ‎plan: ‎Threat‏ ‎landscapes ‎change‏ ‎faster‏ ‎than ‎fashion‏ ‎trends. ‎Regular ‎reviews ‎and ‎updates‏ ‎can ‎help‏ ‎ensure‏ ‎the ‎plan ‎stays‏ ‎relevant ‎and‏ ‎you ‎become ‎more ‎confident

❇️Test‏ ‎the‏ ‎plan: ‎Regular‏ ‎testing ‎can‏ ‎help ‎identify ‎gaps ‎and ‎areas‏ ‎for‏ ‎improvement. ‎It’s‏ ‎like ‎rehearsing‏ ‎for ‎a ‎play ‎— ‎you‏ ‎want‏ ‎to‏ ‎know ‎your‏ ‎lines ‎before‏ ‎the ‎curtain‏ ‎goes‏ ‎up ‎(and‏ ‎you’ll ‎have ‎to ‎justify ‎everything,‏ ‎so ‎why‏ ‎not‏ ‎immediately ‎come ‎up‏ ‎with ‎answers‏ ‎for ‎all ‎occasions)

❇️Involve ‎all‏ ‎relevant‏ ‎stakeholders: ‎From‏ ‎IT ‎to‏ ‎legal ‎to ‎PR, ‎everyone ‎needs‏ ‎to‏ ‎know ‎their‏ ‎role ‎in‏ ‎the ‎plan. ‎It’s ‎like ‎a‏ ‎football‏ ‎team‏ ‎— ‎everyone‏ ‎needs ‎to‏ ‎know ‎the‏ ‎play‏ ‎to ‎score‏ ‎a ‎touchdown ‎(no ‎one ‎will‏ ‎get ‎away‏ ‎with‏ ‎overtime ‎work).

Preserving ‎evidence‏ ‎while ‎responding‏ ‎to ‎an ‎incident ‎seems‏ ‎to‏ ‎be ‎absolutely‏ ‎important, ‎otherwise‏ ‎why ‎would ‎you ‎buy ‎so‏ ‎many‏ ‎disks ‎in‏ ‎a ‎RAID0‏ ‎solution ‎(and ‎wipe ‎your ‎anime‏ ‎from‏ ‎there).

❇️Inadvertent‏ ‎evidence ‎destruction:‏ ‎In ‎the‏ ‎rush ‎to‏ ‎remediate,‏ ‎organizations ‎often‏ ‎destroy ‎evidence. ‎It’s ‎like ‎washing‏ ‎the ‎dishes‏ ‎before‏ ‎the ‎food ‎critic‏ ‎has ‎a‏ ‎chance ‎to ‎taste ‎the‏ ‎soup

❇️Lack‏ ‎of ‎forensic‏ ‎expertise: ‎Preserving‏ ‎digital ‎evidence ‎requires ‎specialized ‎knowledge‏ ‎and‏ ‎skills. ‎Without‏ ‎them, ‎evidence‏ ‎can ‎be ‎easily ‎overlooked ‎or‏ ‎mishandled‏ ‎(now‏ ‎it’s ‎obvious‏ ‎why ‎RAID1‏ ‎exists)

❇️Failure ‎to‏ ‎consider‏ ‎legal ‎requirements:‏ ‎Depending ‎on ‎the ‎nature ‎of‏ ‎the ‎incident,‏ ‎there‏ ‎may ‎be ‎legal‏ ‎requirements ‎for‏ ‎evidence ‎preservation. ‎Ignoring ‎these‏ ‎can‏ ‎lead ‎to‏ ‎penalties ‎and‏ ‎undermine ‎any ‎legal ‎proceedings ‎(Microsoft‏ ‎has‏ ‎even ‎pre-built‏ ‎hash ‎functions‏ ‎in ‎their ‎terminal)

So, ‎there ‎you‏ ‎have‏ ‎it.‏ ‎A ‎snarky‏ ‎Microsoft’s ‎guide‏ ‎to ‎navigating‏ ‎the‏ ‎maze ‎of‏ ‎incident ‎response. ‎It’s ‎a ‎wild,‏ ‎complex, ‎and‏ ‎often‏ ‎frustrating ‎world, ‎but‏ ‎with ‎the‏ ‎right ‎plan ‎and ‎people,‏ ‎you‏ ‎can ‎navigate‏ ‎it ‎like‏ ‎a ‎pro.

Unpacking ‎in ‎more ‎detail:

Navigating Incident Response [EN].pdf

483,25 KB

Скачать

Документ ‎Microsoft‏ ‎под ‎названием ‎«Navigating ‎Incident ‎Response» содержит‏ ‎руководство ‎по‏ ‎эффективной‏ ‎стратегии ‎и ‎тактике‏ ‎реагирования ‎на‏ ‎инциденты ‎(IR). ‎В ‎нем‏ ‎подчёркивается‏ ‎важность ‎людей‏ ‎и ‎процессов‏ ‎при ‎реагировании ‎на ‎инцидент ‎в‏ ‎области‏ ‎кибербезопасности.

Инциденты ‎кибербезопасности‏ ‎так ‎же‏ ‎неизбежны, ‎как ‎разрядка ‎аккумулятора ‎телефона‏ ‎в‏ ‎самый‏ ‎неподходящий ‎момент.‏ ‎И ‎точно‏ ‎так ‎же,‏ ‎как‏ ‎нужен ‎план‏ ‎на ‎случай, ‎если ‎телефон ‎выйдет‏ ‎из ‎строя‏ ‎(может‏ ‎быть, ‎купить ‎power‏ ‎bank?), ‎нужен‏ ‎план ‎на ‎случай ‎возникновения‏ ‎кибератак.‏ ‎Данное ‎руководство‏ ‎полностью ‎посвящено‏ ‎этому ‎плану, ‎уделяя ‎особое ‎внимание‏ ‎людям‏ ‎и ‎процессам,‏ ‎задействованным ‎в‏ ‎эффективном ‎реагировании ‎на ‎инцидент.

Сейчас, ‎когда‏ ‎корпоративные‏ ‎сети‏ ‎увеличиваются ‎в‏ ‎размерах ‎и‏ ‎становятся ‎сложнее,‏ ‎обеспечить‏ ‎их ‎безопасность‏ ‎становится ‎довольно-таки ‎трудной ‎задачей ‎(а‏ ‎ведь ‎можно‏ ‎просто‏ ‎забить). ‎А ‎процесс‏ ‎реагирования ‎на‏ ‎инциденты ‎превращается ‎в ‎игру‏ ‎лабиринт‏ ‎из ‎которых,‏ ‎ну ‎вы‏ ‎поняли, ‎выход ‎— ‎это ‎руководство‏ ‎Microsoft‏ ‎(а ‎ведь‏ ‎только ‎у‏ ‎четверти ‎организаций ‎есть ‎план ‎реагирования‏ ‎на‏ ‎инциденты,‏ ‎и ‎вы‏ ‎ещё ‎не‏ ‎в ‎их‏ ‎числе).

Руководство,‏ ‎разработанное ‎группой‏ ‎реагирования ‎на ‎инциденты ‎Microsoft, ‎призвано‏ ‎помочь ‎избежать‏ ‎распространённых‏ ‎ошибок ‎и ‎предназначено‏ ‎не ‎для‏ ‎замены ‎комплексного ‎планирования ‎реагирования‏ ‎на‏ ‎инциденты, ‎а‏ ‎скорее ‎для‏ ‎того, ‎чтобы ‎служить ‎тактическим ‎руководством,‏ ‎помогающим‏ ‎как ‎группам‏ ‎безопасности, ‎так‏ ‎и ‎старшим ‎заинтересованным ‎сторонам ‎ориентироваться‏ ‎в‏ ‎расследовании‏ ‎реагирования ‎на‏ ‎инциденты.

В ‎руководстве‏ ‎также ‎описывается‏ ‎жизненный‏ ‎цикл ‎реагирования‏ ‎на ‎инциденты, ‎который ‎включает ‎подготовку,‏ ‎обнаружение, ‎локализацию,‏ ‎ликвидацию,‏ ‎восстановление ‎и ‎действия‏ ‎после ‎инцидента‏ ‎или ‎извлечённые ‎уроки. ‎Это‏ ‎как‏ ‎рецепт ‎борьбы‏ ‎со ‎стихийными‏ ‎бедствиями, ‎где ‎каждый ‎шаг ‎столь‏ ‎же‏ ‎важен, ‎как‏ ‎и ‎следующий.

В‏ ‎руководстве ‎также ‎подчёркивается ‎важность ‎управления‏ ‎и‏ ‎роли‏ ‎различных ‎заинтересованных‏ ‎сторон ‎в‏ ‎процессе ‎реагирования‏ ‎на‏ ‎инциденты.

Ключевые ‎выводы:

❇️Инциденты‏ ‎кибербезопасности ‎неизбежны: ‎Документ ‎начинается ‎с‏ ‎новаторского ‎заявления‏ ‎о‏ ‎том, ‎что ‎инциденты‏ ‎кибербезопасности, ‎по‏ ‎сути, ‎неизбежны. ‎Как ‎будто‏ ‎мы‏ ‎живём ‎в‏ ‎мире, ‎где‏ ‎киберугрозы ‎не ‎являются ‎ежедневным ‎явлением

❇️Только‏ ‎26%‏ ‎организаций ‎имеют‏ ‎постоянно ‎применяемый‏ ‎IR-план: ‎в ‎документе ‎приводится ‎исследование‏ ‎IBM‏ ‎согласно‏ ‎которому ‎у‏ ‎26% ‎организаций‏ ‎есть ‎постоянно‏ ‎применяемый‏ ‎план ‎реагирования‏ ‎на ‎инциденты. ‎Отрадно ‎сознавать, ‎что‏ ‎почти ‎три‏ ‎четверти‏ ‎организаций ‎решило ‎эффективно‏ ‎сэкономить ‎материальные‏ ‎ресурсы

❇️Важность ‎реагирования ‎на ‎инциденты,‏ ‎ориентированного‏ ‎на ‎людей:‏ ‎в ‎документе‏ ‎подчёркивается ‎важность ‎подхода ‎к ‎реагированию‏ ‎на‏ ‎инциденты. ‎Речь‏ ‎идёт ‎не‏ ‎только ‎о ‎технологиях, ‎но ‎и‏ ‎о‏ ‎людях,‏ ‎которые ‎их‏ ‎используют. ‎Хорошо,‏ ‎что ‎у‏ ‎нас‏ ‎есть ‎это‏ ‎руководство, ‎которое ‎напоминает ‎нам, ‎как‏ ‎люди ‎вовлечены‏ ‎в‏ ‎процессы ‎и ‎что‏ ‎всегда ‎найдётся‏ ‎чем ‎людей ‎занять ‎и‏ ‎HR-отдел‏ ‎для ‎поиска‏ ‎новых ‎людей‏ ‎под ‎новые ‎вовлечения

❇️Необходимость ‎чётких ‎ролей‏ ‎и‏ ‎обязанностей: ‎в‏ ‎документе ‎подчёркивается‏ ‎важность ‎чётких ‎ролей ‎и ‎обязанностей‏ ‎при‏ ‎реагировании‏ ‎на ‎инциденты.‏ ‎Люди ‎работают‏ ‎лучше, ‎когда‏ ‎знают,‏ ‎что ‎они‏ ‎должны ‎делать, ‎а ‎ведь ‎руководство‏ ‎до ‎сих‏ ‎пор‏ ‎верит, ‎что ‎сотрудники‏ ‎могут ‎обо‏ ‎всём ‎догадаться, ‎но ‎Microsoft‏ ‎учтиво‏ ‎напоминает ‎прописные‏ ‎истины.

❇️«Лабиринт ‎реагирования‏ ‎на ‎инциденты»: ‎в ‎документе ‎процесс‏ ‎реагирования‏ ‎на ‎инциденты‏ ‎сравнивается ‎с‏ ‎перемещением ‎по ‎лабиринту. ‎Потому ‎что‏ ‎ничто‏ ‎так‏ ‎не ‎говорит‏ ‎об ‎«эффективном‏ ‎процессе», ‎как‏ ‎структура,‏ ‎созданная ‎для‏ ‎того, ‎чтобы ‎сбивать ‎с ‎толку‏ ‎и ‎направлять‏ ‎по‏ ‎ложному ‎пути ‎(отдел‏ ‎продаж ‎уже‏ ‎получил ‎премию ‎за ‎IR-руководство,‏ ‎а‏ ‎вы?)

❇️Важность ‎сохранения‏ ‎доказательств: ‎в‏ ‎документе ‎подчёркивается ‎важность ‎сохранения ‎доказательств‏ ‎после‏ ‎нарушения. ‎Хорошо,‏ ‎что ‎они‏ ‎упомянули ‎об ‎этом, ‎иначе ‎мы‏ ‎могли‏ ‎бы‏ ‎просто ‎выбросить‏ ‎все ‎эти‏ ‎ценные ‎данные

❇️Необходимость‏ ‎в‏ ‎модели ‎реагирования:‏ ‎в ‎документе ‎предлагается, ‎чтобы ‎организации‏ ‎определили ‎модель‏ ‎реагирования‏ ‎для ‎управления ‎инцидентом‏ ‎(займитесь ‎делом‏ ‎уже).

❇️Потребность ‎в ‎выделенных ‎ресурсах:‏ ‎в‏ ‎документе ‎предлагается,‏ ‎чтобы ‎организации‏ ‎выделяли ‎ресурсы ‎для ‎реагирования ‎на‏ ‎инциденты.‏ ‎Потому ‎что,‏ ‎очевидно, ‎просить‏ ‎свою ‎ИТ-команду ‎разобраться ‎с ‎крупным‏ ‎инцидентом‏ ‎в‏ ‎сфере ‎кибербезопасности‏ ‎в ‎свободное‏ ‎время, ‎как‏ ‎подход,‏ ‎уже ‎не‏ ‎прокатывает.

❇️Важность ‎коммуникации: ‎В ‎документе ‎подчёркивается‏ ‎важность ‎коммуникации‏ ‎во‏ ‎время ‎инцидента ‎кибербезопасности.‏ ‎Людей ‎важно‏ ‎держать ‎в ‎курсе ‎событий‏ ‎во‏ ‎время ‎кризиса‏ ‎или ‎и‏ ‎других ‎значимых ‎событий ‎(но, ‎если‏ ‎бы‏ ‎они ‎хотели,‏ ‎они ‎бы‏ ‎сами ‎догадались).

Итак, ‎как ‎организации ‎могут‏ ‎гарантировать,‏ ‎что‏ ‎их ‎план‏ ‎реагирования ‎на‏ ‎инциденты ‎будет‏ ‎достаточно‏ ‎гибким, ‎чтобы‏ ‎адаптироваться ‎к ‎меняющимся ‎обстоятельствам? ‎Очевидно,‏ ‎что ‎никак,‏ ‎как‏ ‎с ‎погодой, ‎но‏ ‎вы ‎можете‏ ‎подготовиться ‎к ‎ней.

❇️Регулярно ‎пересматривать‏ ‎и‏ ‎обновлять ‎план:‏ ‎ландшафт ‎угроз‏ ‎меняется ‎быстрее, ‎чем ‎модные ‎тенденции.‏ ‎Регулярные‏ ‎проверки ‎и‏ ‎обновления ‎могут‏ ‎помочь ‎гарантировать, ‎что ‎план ‎остаётся‏ ‎актуальным,‏ ‎а‏ ‎вы ‎станете‏ ‎более ‎уверенным‏ ‎в ‎себе

❇️Протестировать‏ ‎план:‏ ‎регулярное ‎тестирование‏ ‎может ‎помочь ‎выявить ‎пробелы ‎и‏ ‎области ‎для‏ ‎последующего‏ ‎их ‎улучшения. ‎Это‏ ‎как ‎репетиция‏ ‎пьесы ‎— ‎нужно ‎знать‏ ‎свои‏ ‎реплики ‎до‏ ‎того, ‎как‏ ‎поднимется ‎занавес ‎(а ‎оправдываться ‎всё‏ ‎придётся,‏ ‎так ‎почему‏ ‎сразу ‎не‏ ‎придумать ‎ответы ‎на ‎все ‎случаи‏ ‎жизни)

❇️Вовлечение‏ ‎всех‏ ‎заинтересованных ‎участников:‏ ‎от ‎ИТ-специалистов‏ ‎до ‎юристов‏ ‎и‏ ‎пиарщиков, ‎каждый‏ ‎должен ‎знать ‎свою ‎роль ‎в‏ ‎IR-плане ‎(никто‏ ‎не‏ ‎уйдёт ‎от ‎сверхурочной‏ ‎работы).

Сохранение ‎улик‏ ‎во ‎время ‎реагирования ‎на‏ ‎инцидент‏ ‎похоже ‎категорически‏ ‎важно, ‎иначе‏ ‎зачем ‎вы ‎покупали ‎столько ‎дисков‏ ‎в‏ ‎RAID0 ‎решения‏ ‎(и ‎сотрите‏ ‎оттуда ‎уже ‎ваше ‎аниме).

❇️Непреднамеренное ‎уничтожение‏ ‎улик:‏ ‎В‏ ‎спешке ‎с‏ ‎исправлением ‎ситуации‏ ‎организации ‎часто‏ ‎(и‏ ‎не ‎случайно)‏ ‎уничтожают ‎улики.

❇️Отсутствие ‎криминалистики: ‎Сохранение ‎цифровых‏ ‎доказательств ‎требует‏ ‎специальных‏ ‎знаний ‎и ‎навыков‏ ‎(теперь, ‎очевидно,‏ ‎зачем ‎существует ‎RAID1)

❇️Несоблюдение ‎требований‏ ‎закона:‏ ‎В ‎зависимости‏ ‎от ‎характера‏ ‎инцидента ‎могут ‎существовать ‎юридические ‎требования‏ ‎к‏ ‎сохранности ‎доказательств‏ ‎(Microsoft ‎уже‏ ‎в ‎терминале ‎даже ‎встроила ‎хеш-функции)

Управление‏ ‎инцидентами‏ ‎это‏ ‎дикий, ‎сложный‏ ‎и ‎часто‏ ‎разочаровывающий ‎мир,‏ ‎но‏ ‎с ‎правильным‏ ‎планом ‎(только ‎от ‎Microsoft) ‎и‏ ‎людьми ‎вы‏ ‎сможете‏ ‎ориентироваться ‎в ‎нем‏ ‎как ‎профессионал.

Подробный‏ ‎разбор

Navigating Incident Response [RU].pdf

477,85 KB

Скачать