Инцидент-менеджмент и восстановление после кибератак

Когда произойдёт атака, а не если

Не «если» случится атака, а «когда». Понимание этого меняет подход: от «предотвратить любой ценой» к «предотвратить максимально + подготовиться к реагированию».

Жизненный цикл реагирования на инциденты (NIST SP 800-61)

1. Подготовка: CIRT (Computer Incident Response Team); план реагирования; playbooks для типовых инцидентов; коммуникационные цепочки; контакты страховщика, юриста, PR.

2. Обнаружение и анализ: источники: SIEM алёрты, жалобы пользователей, внешние уведомления (партнёры, регуляторы). Оценка: масштаб, тип, серьёзность.

3. Сдерживание: быстрое (изолировать заражённые системы — отключить от сети) и долгосрочное (определить root cause, устранить вектор атаки).

4. Ликвидация: удалить вредоносное ПО, закрыть уязвимости, сменить скомпрометированные учётные данные.

5. Восстановление: постепенное возвращение систем в работу, мониторинг на предмет повторного заражения.

6. Анализ после инцидента (Post-Incident Review): что произошло? Как нас взломали? Что мы сделали правильно/неправильно? Какие изменения вносим?

Ransomware: платить или не платить?

Дилемма: платить выкуп — быстрое восстановление, но: финансирование преступников; нет гарантии расшифровки; повторные атаки (вы — «лёгкая мишень»). Не платить: требует надёжных бэкапов; может занять недели.

Компании со зрелой системой backups (3-2-1: 3 копии, 2 носителя, 1 offsite) могут восстановиться без выплаты выкупа.

Практическое задание

Производственная компания стала жертвой ransomware. Все файлы зашифрованы, требование — $500 000 в Bitcoin. У компании есть бэкапы 3-дневной давности. (1) Каков ваш первый шаг? (2) Кого уведомить (внутренне, внешне, регуляторно)? (3) Платить или восстанавливаться из бэкапов — взвесьте аргументы. (4) Как убедиться, что атака не повторится?