103 подписчика
15 мая в «Фармакоде» прошёл закрытый вебинар: «Реагирование на кибератаку: протокол первых 24 часов».
Говорили с Антоном Бочкаревым (амбассадор клуба, больше 10 лет в ИБ) про тот самый момент, когда уже не до красивых политик ИБ, презентаций и героических фраз. Системы лежат. Руководство спрашивает сроки. Бизнес хочет работать. А у ИТ и ИБ есть первые минуты, в которые легко сделать хуже.
Самая неприятная мысль вебинара: при киберинциденте вредят не только атакующие. Иногда вредят свои же действия.
Например, первый рефлекс — перезагрузить сервер, запустить антивирус, начать срочно удалять подозрительные файлы. Понятная реакция. Только в этот момент можно потерять оперативную память, следы процессов, сетевые соединения и другие данные, которые потом нужны для расследования.
Полезный минимум, который можно забрать в открытый доступ:
— не выключать заражённую машину сразу;
— зафиксировать состояние: экраны, процессы, соединения, логи;
— изолировать сетевой сегмент, а не выдёргивать питание;
— вести лог инцидента с самого начала.
Казалось бы, простые вещи. Вот только во время атаки простые вещи первыми и вылетают из головы. Особенно когда рядом уже стоит директор с вопросом «когда всё заработает?».
В закрытой части вебинара разобрали больше: как классифицировать инцидент, когда звать внешнюю команду, как говорить с руководством, что делать с бэкапами, где проходит граница между восстановлением и уничтожением доказательств.
Отдельно обсуждали выкуп.
Тут не было лозунгов уровня «никогда не платите». Разбирали критерии: есть ли рабочие бэкапы, какова стоимость простоя, кто атакующая группа, какие есть юридические риски, что делать, если данные действительно украдены. Неприятная тема, но в реальном инциденте её всё равно придётся обсуждать.
Был и кейс из практики.
Производственная компания, шифровальщик, ошибки в первые часы, потерянные артефакты, бэкапы, которые случайно спасли ситуацию. На таких примерах хорошо видно: безопасность проверяется не по регламенту в папке, а по тому, кто и что делает утром, когда всё уже горит.
Для этого и нужен клуб.
В открытом поле такие темы обычно обсуждают слишком общо. В клубе можно разбирать конкретику: что делать, кому звонить, что фиксировать, какие решения принимать и где заканчиваются возможности внутренней команды.
«Фармакод» ценен именно этим контекстом. Тут рядом люди, которые понимают фарму, ИТ, ИБ, регуляторику и цену простоя. Без декоративного шума.
Следующие закрытые встречи будут такими же прикладными. Публично дадим главное. Детали, кейсы и рабочие разборы — внутри клуба.
2 минуты
19 мая