Компьютерный инцидент: что делать?

Инциденты в компьютерных сетях происходят ежедневно. При заражении сети рука админа автоматически тянется к лечащей утилите. В качестве «скорой помощи» это отличное средство, но… Как быть, если нужно найти виновного в инциденте, установить истинную причину происшествия? Понять, действительно ли купленное ПО безопасно – или содержит майнер? Тормозит ли антивирус – или все гораздо серьезнее? Наконец, как снизить потери репутации среди партнеров и клиентов?

На эти и другие вопросы ответил ведущий аналитик отдела развития Компании «Доктор Веб» Вячеслав Медведев. В своем докладе «У вас – компьютерный инцидент: что делать и куда бежать?» он рассказал о том, что включает в себя подготовка и какая компания может считать себя готовой к инцидентам, что именно надо делать, если инцидент уже произошел или если есть подозрение, что он происходит в данный момент.

Вячеслав Медведев:

«Наличие в компании только одного антивируса осложняет жизнь злоумышленникам, но не исключает возможность атаки на компанию. Возможность удаленного доступа, слабый пароль и наличие на компьютере архиватора - примерно пятая часть атак, завершившихся шифрованием данных, происходит именно по этим причинам. Антивирус не будет блокировать работу штатного архиватора, запущенного от лица администратора компьютера (с правами которого работал пользователь, пароль которого с легкостью подобрали). Это же не вредоносная программа, а обычный архиватор.

Как оценить готовность компании к инциденту? Сотрудники компании (каждый из них) должны знать, что конкретно должен делать каждый и за что кто отвечает. Кого надо уведомить, если компьютер начал работать странно. Что сообщить в случае инцидента, какие действия предпринять. Все это не сложно. В теории. Но знает ли это дежурная в праздники бригада? Способна ли секретарша принять звонок с уведомлением об обнаруженной атаке? Не будут ли

сотрудники скрывать факт халатности, приведший к заражению?»