Вопрос: Как происходит работа по расследованию инцидента?

Ответ: Обычно расследование инцидента состоит из следующих этапов:

• Оперативное реагирование и предварительный сбор информации. На этом этапе наши специалисты получают и формируют первоначальное представление об инциденте: затронутые информационные системы и сегменты сети, задействованные лица, последствия инцидента, возможные источники. Сбор данной информации ведется при непосредственном участии работников компании, в которой произошел инцидент.
• Сбор улик. Специалистами Group-IB производится сбор необходимых улик в соответствии с требованиями лучших мировых практик и отечественного законодательства. В ходе данных работ происходит съем образов с систем, задействованных в инциденте, также собираются журналы событий с сетевых устройств, межсетевых экранов, шлюзов, систем IDS/IPS и др.
• Анализ собранных улик. На этом этапе происходит анализ данных, собранных на предыдущем этапе. Извлекается и документируется вся информация, которая имеет отношение к инциденту. Восстанавливается хронология событий, повлекших инцидент, а также лиц, связанных с инцидентом.
• Подготовка отчета. Эксперты Group-IB составляют отчет, описывающий инцидент, указывают его причины и дают рекомендации по предотвращению подобных инцидентов в дальнейшем.