Как реагировать и расследовать киберинциденты?

Директор по безопасности BI.ZONE

• В 2008 году окончил инженерный факультет Череповецкого военного инженерного института радиоэлектроники со специализацией в области радиотехники. 
• С 2012 года Евгений Волошин работал в Генеральной дирекции ОАО «Северсталь» в управлении по защите информации, где вырос с должности специалиста до начальника лаборатории.
• Занимался этичным хакингом, разработкой и реализацией сценариев атак, расследованием инцидентов информационной безопасности. Параллельно работал администратором средств криптографической защиты информации в департаменте обеспечения бизнеса в ОАО «Северсталь-инфоком». 
• В 2016 году присоединился к команде BI.ZONE в должности директора по информационной безопасности. 
• В настоящий момент Евгений также является одним из ключевых спикеров Академии кибербезопасности Сбербанка.

Какими бывают киберинциденты

• Кибератаки — в чем угроза?
• Самые частые цели атакующих
• Закон Мерфи в контексте кибербезопасности
• Атака шифровальщика (ransomware)
• Взлом сайта или веб-приложения

Этапы реагирования на киберинцидент

• Цикл реагирования на инцидент
• План реагирования
• Важные вопросы

Примеры расследований

• Веб-шелл в логистической компании
• Утечка 5200

Проблемы, с которыми чаще всего сталкиваются форензики

• Некорректные действия сотрудников IT-отдела при первых признаках инцидента
• Отсутствие информации об инфраструктуре
• Доступа к нужным системам
• Инструменты, оборудование, адаптеры и тд.

Инструменты для форензики и Incident Response

• Аппаратные средства для снятия образов дисков
• Платное ПО
• Бесплатное и условно-бесплатное ПО
• Бесплатное ПО для сбора материалов

Что должен сделать каждый безопасник в своей инфраструктуре

• Аудит
• Подготовка чек-листов и процедур
• Примеры чек-листов
• Шпаргалка безопасника
• Настройка логирования
• Настройка журналов Windows
• Проверка функционирования СЗИ
• Пример с логами MS Exchange