Первый час после кибератаки: пошаговое руководство

По данным «Бастион», в 2024 году число киберугроз выросло более чем на 20%, и их количество постоянно растет. Эффективная организация работы ИТ-инфраструктуры и быстрая реакция на инциденты позволяют оперативно восстанавливать процессы и минимизировать риски киберпреступлений.

Семен Рогачев, руководитель отдела реагирования на инциденты «Бастион», рассказал, какие шаги следует предпринять в первые часы после обнаружения угрозы, чтобы предотвратить ее дальнейшее распространение.

Что делать после обнаружения кибератаки

Ограничьте распространение атаки

Изолируйте подозрительные хосты от сети. При необходимости временно отключите отдельные сегменты ИТ-инфраструктуры, особенно те, где уже есть следы компрометации. Это не только сдержит угрозу, но и облегчит расследование.

Проведите первичный сбор данных

На этом этапе критично сохранить «цифровые следы» – соберите логи ОС, события аутентификации, данные с SIEM и т.д.

Ограничьте действия злоумышленников

Проверьте учетные записи, а особенно те, у которых есть привилегированные права. Временно заблокируйте подозрительные сессии, принудительно завершите активные подключения, смените пароли и проверьте политику доступа.

Проверьте резервные копии

Убедитесь, что бэкапы хранятся в изолированной среде и не были скомпрометированы. Желательно наличие «холодных» копий на физическом носителе, недоступном из скомпрометированной сети.

Оградите неповрежденные системы

Создайте резервные копии с устройств, которые, по предварительной оценке, не затронуты атакой, и переместите их в изолированное хранилище. Отдавайте приоритет критичным для осуществления бизнес-процессов устройствам. В случае провала сдерживания злоумышленника это поможет при восстановлении критичных компонентов инфраструктуры.

Оповестите сотрудников и партнеров

Сообщите коллегам о возможной компрометации корпоративных аккаунтов, особенно в мессенджерах. Рекомендуется завершить активные сессии на всех устройствах. При наличии внешних клиентов или партнеров важно предупредить их о рисках, особенно если компания предоставляет ИТ-услуги.

Как определить масштабы и источник инцидента

Существует базовый алгоритм действий, который можно применить в большинстве случаев возникновения инцидента, чтобы максимально оперативно локализовать угрозу и начать расследование.

Во-первых, исследуйте устройство, на котором были замечены следы компрометации. К явным признакам взлома можно отнести использование хакерских инструментов и IP-адресов сторонних серверов, через которые злоумышленники управляли атакой, а также связанную с инцидентом активность пользователей.

Во-вторых, определите, какие устройства взаимодействовали с зараженным хостом. Это позволит выявить потенциально скомпрометированные узлы.

В-третьих, идентифицируйте характер атаки – это откроет возможность подключения внешних источников информации, что позволит расширить круг проверяемых данных, связанных со взломом.

Процесс работы с выявленными следами активности обычно цикличен и повторяется для каждого устройства, на котором есть подозрения о вмешательстве.

Важно сохранять сведения о всех проблемах, с которыми можно столкнуться в процессе, так как они могут указать направления для улучшения уровня безопасности и защищенности ИТ-инфраструктуры.

Кто должен быть уведомлен в первые часы после атаки

ИБ-команда и CISO должны как можно быстрее приступить к расследованию инцидента. В большинстве компаний этим занимаются специалисты в области компьютерной криминалистики или других смежных дисциплин. Если в компании их нет, то крайне рекомендуется привлечь сторонних экспертов для проведения расследования.

Помимо этого, на этапе начала расследования необходимо свериться с актуальными законодательными актами, которые регулируют действия в случае наступления инцидентов.

2395

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.