Расследование инцидентов — это критически важный подпроцесс управления инцидентами информационной безопасности, направленный на выявление первичного вектора компрометации, минимизацию ущерба и предотвращение подобных инцидентов в будущем. Эффективность расследования зависит от трех ключевых факторов: компетентности команды реагирования, наличия инструментов для анализа и сбора данных, а также согласованности процессов информационной безопасности организации-заказчика в целом.
Последний фактор оказывает существенное влияние на ход расследования, включая точность, полноту и достоверность итоговых результатов расследования. В частности, отсутствие налаженных ИБ-процессов может привести к изменению ключевых артефактов, затруднить идентификацию источника проникновения и снизить вероятность обнаружения новых индикаторов компрометации (IOCs).
На протяжении множества расследований команда Solar 4RAYS сталкивалась с такими «препятствиями». Проанализировав их, мы решили описать проблемы, возникающие в том или ином ИБ-процессе, которые негативно влияют на расследование инцидента.
Читать далееИсточник: Хабрахабр
Источник: SolarSecurity (Солар)
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке