Мониторинг и реагирование на инциденты

Мониторинг событий безопасности и своевременное реагирование на инциденты ИБ — одни из самых важных процессов, которые позволяют предотвратить наступление недопустимых событий.

Этап 1

Создание центра противодействия киберугрозам

Центр противодействия киберугрозам — структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимого события, устраняет их и минимизирует последствия действий злоумышленников. Центр мониторит только те системы, которые являются целями преступников или служат источниками недопустимых событий: это позволяет сократить время и финансовые затраты на построение защиты.

Связанные статьи

Центр противодействия киберугрозам и его отличия от SOC
Принципы построения центра противодействия киберугрозамЯдро методологии

Этап 2

Мониторинг событий и реагирование на инциденты ИБ

В организациях, как правило, используется множество распределенных систем, связанных между собой; в результате усложняется контроль системных процессов и действий пользователей. Правильное построение мониторинга событий позволяет специалистам по ИБ своевременно увидеть подозрительные активности или другие отклонения от нормы, которые могут являться индикаторами атак, и предпринять меры по противодействию злоумышленникам. А правильно выстроенный процесс реагирования на инциденты информационной безопасности позволяет локализовать, предотвратить и устранить последствия кибератак, которые могут привести к реализации недопустимых событий.

Связанные статьи

Мониторинг событий кибербезопасности
Построение процесса реагирования на инциденты информационной безопасности: базовые принципы
Какие документы необходимы для запуска процесса реагирования на инциденты ИБ
Как сформировать команду мониторинга и реагирования
Какие связи необходимы команде мониторинга и реагирования для эффективной работы
Подготовка к реагированию на инциденты ИБ
Рекомендации по работе с карточкой инцидента ИБ

Этап 3

Что делать после инцидента

После реагирования на инцидент недостаточно просто проанализировать причины его возникновения и оценить работу ЦПК. Важно уметь выстраивать коммуникацию с внешним миром — ведь вполне возможно, что инцидент затронул интересы третьих лиц. Кроме того, важно уметь подсчитать ущерб от инцидента в денежном эквиваленте (иногда он может быть весьма значительным).

Связанные статьи

Финансовая сторона инцидента ИБ
Как общаться с внешним миром, если вас взломали

Этап 4

Автоматизация мониторинга инцидентов ИБ и реагирования на них

Благодаря качественному улучшению мониторинга и реагирования на инциденты с прицелом на автоматизацию сокращается время реагирования. В текущих условиях, когда взлом систем может занимать считанные минуты, это может сыграть решающую роль в предотвращении недопустимых событий.

Мониторинг и реагирование на инциденты

Создание центра противодействия киберугрозам

Мониторинг событий и реагирование на инциденты ИБ

Что делать после инцидента

Автоматизация мониторинга инцидентов ИБ и реагирования на них

Связанные домены

«Приземление» недопустимых событий на IT-инфраструктуру

Непрерывность бизнеса

Запуск программы bug bounty