Расследование инцидентов
Если инцидент информационной безопасности не удалось предотвратить, необходимо провести расследование: восстановить хронологию и определить причины. Это позволит исключить повторение подобных ситуаций в будущем, определить размер ущерба и необходимые меры для ликвидации последствий.
Работа экспертов строится следующим образом:
- Выявление картины, как была реализована атака.
- Построение сценария взлома.
- Восстановление хронологии атаки (таймлайн).
- Определение ущерба, сбор фактов и улик.
- Предложение превентивных защитных мер.
Форензика также используется в тех случаях, когда прямой факт взлома и атаки еще не установлен, но есть подозрения или косвенные признаки, указывающие на него. Например, появление конфиденциальной информации в общем доступе, перехват клиентов конкурентами. Подобные факты могут говорить о том, что в компании имеется инсайдер или произошел взлом сервера.
Даже если факт атаки не подтвердится, вы сможете получить объективную оценку информационной безопасности и ликвидировать угрозы.