Николай Омланд принял участие в эфире АМ Live «Реагирование на инциденты в информационной безопасности»

28 марта 2025.

Руководитель группы анализа инцидентов информационной безопасности SOC Николай Омланд принял участие в эфире АМ Live «Реагирование на инциденты в информационной безопасности», на котором эксперты обсудили формирование команд реагирования, а также распределение ответственности и полномочий между департаментами ИТ, ИБ и АСУ ТП. Кроме того, спикеры затронули вопросы практических аспектов реагирования и рассказали, чего не стоит делать в случае регистрации инцидента.

Николай Омланд, о типах инцидентов, которые требуют планирования и стратегии реагирования:

«В первую очередь, это инциденты, которые могут привести к человеческим жертвам, они действительно требуют проработки. Далее следуют те, что могут парализовать бизнес-функцию, и здесь необходимо отстроить взаимодействие с бизнесом. К отдельной группе стоит отнести инциденты, связанные с начальными рисками — сотрудники на удаленке, специалисты с личными устройствами на рабочем месте, незакупленные end-point решения или решения на этапе внедрения. Все это необходимо проработать заранее, чтобы в итоге не решать задачи в авральном режиме».

О взаимодействии между подразделениями:

«При взаимодействии подразделений в процессе реагирования важны горизонтальные связи. Например, в случае, когда IT-специалист одного департамента общается с IT-специалистом другого через цепочку менеджеров, это удлиняет время реагирования, а так как менеджеры не обладают нужной экспертизой, это может привести к искажениям при передаче информации через промежуточные звенья».

«Другой момент связан с тем, что необходимо создать оперативные способы коммуникации между подразделениями, кроме общения по почте или через заявки, в условиях, когда прежняя система взаимодействия станет недоступной в связи с инцидентом. В этом случае спасают горизонтальные связи, когда есть возможность позвонить лично».

Что нельзя делать при наступлении инцидента:

«Не нужно выполнять требования вымогателей. До старта расследования и сбора свидетельств не нужно запускать в инфраструктуру пентестеров, начинать „засканивать“ бедный хост, потому что команда расследования „спасибо“ за это не скажет».

О метриках оценки эффективности:

«Эффективность реагирования полезно оценивать в контексте плэйбуков. Каждая инфраструктура индивидуальна. В одних процессы идут быстрее, в других нет. Есть смысл оценивать реагирование там, где есть „бутылочное горлышко“, например, это может быть долгий момент ответа пользователя на письмо, тогда имеет смысл внедрять автоматизацию по сбору данных с хоста».

Смотреть эфир.