Методология

Мониторинг и реагирование на инциденты

Мониторинг событий безопасности и своевременное реагирование на инциденты ИБ — одни из самых важных процессов, которые позволяют предотвратить наступление недопустимых событий.

Результат

Построена эффективная система мониторинга, реагирования и устранения последствий инцидентов ИБ, которая позволяет своевременно обнаружить и остановить нарушителя до реализации недопустимого события.

Артефакт

Организационно-распорядительная документация, которая подтверждает создание центра и регламентирует его работу.

Содержание

Этап 1

Создание центра противодействия киберугрозам

Центр противодействия киберугрозам — структура, которая осуществляет мониторинг факторов, способствующих реализации недопустимого события, устраняет их и минимизирует последствия действий злоумышленников. Центр мониторит только те системы, которые являются целями преступников или служат источниками недопустимых событий: это позволяет сократить время и финансовые затраты на построение защиты.

Связанные статьи

  • Центр противодействия киберугрозам и его отличия от SOC
  • Принципы построения центра противодействия киберугрозамЯдро методологии
Этап 2

Мониторинг событий и реагирование на инциденты ИБ

В организациях, как правило, используется множество распределенных систем, связанных между собой; в результате усложняется контроль системных процессов и действий пользователей. Правильное построение мониторинга событий позволяет специалистам по ИБ своевременно увидеть подозрительные активности или другие отклонения от нормы, которые могут являться индикаторами атак, и предпринять меры по противодействию злоумышленникам. А правильно выстроенный процесс реагирования на инциденты информационной безопасности позволяет локализовать, предотвратить и устранить последствия кибератак, которые могут привести к реализации недопустимых событий.

Связанные статьи

  • Мониторинг событий кибербезопасности
  • Построение процесса реагирования на инциденты информационной безопасности: базовые принципы
  • Какие документы необходимы для запуска процесса реагирования на инциденты ИБ
  • Как сформировать команду мониторинга и реагирования
  • Какие связи необходимы команде мониторинга и реагирования для эффективной работы
  • Подготовка к реагированию на инциденты ИБ
  • Рекомендации по работе с карточкой инцидента ИБ
Этап 3

Что делать после инцидента

После реагирования на инцидент недостаточно просто проанализировать причины его возникновения и оценить работу ЦПК. Важно уметь выстраивать коммуникацию с внешним миром — ведь вполне возможно, что инцидент затронул интересы третьих лиц. Кроме того, важно уметь подсчитать ущерб от инцидента в денежном эквиваленте (иногда он может быть весьма значительным).

Связанные статьи

  • Финансовая сторона инцидента ИБ
  • Как общаться с внешним миром, если вас взломали
Этап 4

Автоматизация мониторинга инцидентов ИБ и реагирования на них

Благодаря качественному улучшению мониторинга и реагирования на инциденты с прицелом на автоматизацию сокращается время реагирования. В текущих условиях, когда взлом систем может занимать считанные минуты, это может сыграть решающую роль в предотвращении недопустимых событий.

Связанные домены

«Приземление» недопустимых событий на IT-инфраструктуру

«Приземление» недопустимых событий на IT-инфраструктуру

Определены основные объекты воздействия для повышения киберустойчивости на уровне IT-инфраструктуры.

Поддержание киберустойчивости

Поддержание киберустойчивости

Внедрены процессы, которые позволяют поддерживать достигнутый высокий уровень киберустойчивости.

Запуск программы bug bounty

Запуск программы bug bounty

Организация получает возможность объективно проверить уровень защищенности с привлечением неограниченного количества независимых исследователей кибербезопасности.