Хотите ли вы знать, кто пытался украсть ваши конфиденциальные данные или зашифровать ваши серверы? Какие техники, тактики и средства использовали злоумышленники? И главное, кто стоит за атаками на вашу организацию?

Обсудим с ведущими экспертами, как правильно проводить расследование инцидентов информационной безопасности, оправдывают ли себя затраченные усилия. В каких случаях можно успешно провести атрибуцию атаки, выйти на след реальных злоумышленников и довести дело до суда.

Поговорим о практике проведения расследований, как избежать многих типичных ошибок, выбрать подходящего подрядчика и правильно оформить доказательную базу.

Ключевые вопросы дискуссии:

1. Цели и методы расследования инцидентов
   • Кому и для чего необходимо расследовать компьютерные инциденты?
   • Какие инциденты стоит расследовать и почему?
   • На какие результаты расследования инцидентов ИБ можно рассчитывать?
   • Зачем тратить ресурсы на выяснения деталей уже прошедшей атаки? Не лучше ли сосредоточиться на защите от будущих атак?
   • У нас есть SIEM и DLP, которые пишут все. Достаточно ли этого для расследования?
   • Наша компания cloud native. Какие особенности расследований инцидентов в облачной инфраструктуре?
   • Если работали профи, то они затерли за собой все следы. Что здесь можно расследовать?
   • Какие навыки необходимы специалистам для проведения расследования?
   • Можно ли провести расследование своими силами?
   • Из каких шагов состоит процесс расследования инцидентов?
   • Какие средства защиты, мониторинга и логирования необходимы для проведения полноценного расследования?
   • В каких ситуациях стоит обратиться за помощью к внешним специалистам?
   • Каким образом внешние кибердетективы могут обогатить результаты расследования по своим каналам?
   • Насколько реально провести атрибуцию атаки или даже выйти на заказчика?
   • Какой процент расследований заканчивается посадками злоумышленников?
   • Когда за расследование не возьмется никто?
2. Практика расследований инцидентов
   • Как сохранить максимум ценной информации для работы специалистов и не потерять важные улики?
   • Как не парализовать работу компании и при этом собрать необходимые данные?
   • Сколько времени есть на проведение расследования? И когда уже бесполезно начинать?
   • Как правильно оформить договор с внешним подрядчиком на проведение расследования?
   • Какие права и доступы будут необходимы кибердетективам?
   • Какие этапы расследования лучше сделать своими силами?
   • Какие гарантии могут дать кибердетективы? Будут ли искать до победного конца?
   • При каких условиях найденные доказательства будут иметь юридическую силу?
   • Как долго на практике идет процесс расследования?
   • Кто будет заниматься передачей дела в суд?
   • В ходе расследования подрядчик собрал очень много информации и был допущен конфиденциальным данным. Как подстраховаться от возможных злоупотреблений?
3. Прогноз развития рынка услуг расследования инцидентов
   • Что ожидает рынок в перспективе 2-3 года?
   • Способствует ли развитие СЗИ проведению расследований?
   • Если все окончательно перейдут на облачные сервисы, то не сведется ли процесс расследование к банальному чтению логов?
   • Какие межгосударственные инициативы могут способствовать повышению эффективности расследований и поимке злоумышленников?
   • Не должна ли со временем функция расследования компьютерных преступлений перейти государству?

Приглашенные эксперты:

Модераторы: