Специалисты по кибербезопасности обнаруживают инциденты безопасности через мониторинг и последующий анализ. 12 Мониторинг проводят вручную или с помощью специализированного программного обеспечения, например SIEM-системы. 1 Она собирает данные с разных участков инфраструктуры, составляет цепочки событий и отслеживает тревожные сигналы. 4 Если SIEM не используется, ответственные сотрудники просматривают журналы регистрации событий с определённой периодичностью и принимают решения о наличии инцидента и дальнейшим действиям. 2

Реагирование на инциденты безопасности включает несколько этапов: 3

1. Подготовка. 3 Включает исследование актуальных угроз, оценку степени их опасности, проработку превентивных мер защиты и сценариев действий в случае атак. 3
2. Идентификация события, то есть его обнаружение. 3
3. Сдерживание — прекращение угрозы, работа над сбором доказательной базы и сохранением конфиденциальности информации. 3
4. Ликвидация последствий инцидента. 3 Например, восстановление документов из бэкапа (резервных копий), переустановка компонентов системы, повторное подключение устройств, проверка на корректность работы и т. д.. 3
5. Возвращение к деятельности, то есть попытки выстроить полноценную работу компании на том же уровне, который был до негативного события. 3
6. Усиление защиты информационных систем: внедрение новых программных и технических инструментов, пересмотр сценариев реагирования, обучение сотрудников и др.. 3

К реагированию на инциденты важно привлекать не только сотрудников информационной безопасности. 1 Принимать участие в разработке тактики борьбы с последствиями угроз должны юристы и руководители. 1