Какие методы используются для обнаружения и реагирования на компьютерные инциденты?

Некоторые методы, которые используются для обнаружения и реагирования на компьютерные инциденты:

Для обнаружения применяют, например:

• Мониторинг событий информационной безопасности. selectel.ru Он может быть автоматизированным с использованием специализированных средств (SIEM), ручным или смешанным. selectel.ru SIEM-системы позволяют осуществлять централизованный сбор и анализ по заранее заданным правилам корреляции событий информационной безопасности. selectel.ru
• Изучение логов. ir.alfastrah.ru Это основной метод обнаружения аномальной активности в среде ИТ-систем компании. ir.alfastrah.ru
• Оповещения. ir.alfastrah.ru Например, для обнаружения атаки грубой силы используют оповещения, указывающие на многократные неудачные попытки входа в систему. ir.alfastrah.ru
• Разведку киберугроз (Cyber Threat Intelligence, CTI). practicum.yandex.ru Она позволяет отслеживать, что, возможно, предпримут злоумышленники, и заранее минимизировать угрозу. practicum.yandex.ru

Для реагирования используют, в частности:

• Локализацию инцидента. selectel.ru Определяют затронутые ресурсы и принимают меры по ограничению дальнейшего распространения инцидента. selectel.ru
• Выявление и анализ последствий. selectel.ru К ним, в зависимости от особенностей и типа инцидента, могут быть отнесены изменение эталонных настроек, модификация или удаление файлов, нештатная сетевая активность и другое. selectel.ru
• Ликвидацию выявленных последствий. selectel.ru Например, возврат эталонных настроек, восстановление заражённых файлов, смена аутентификационной информации и так далее. selectel.ru
• Анализ инцидентов. selectel.ru На этом этапе формируют и собирают возможные свидетельства: дампы трафика, образцы вредоносного кода, снэпшоты машин и другое. selectel.ru Все данные анализируют для расследования причин возникновения инцидента. selectel.ru