Обработка инцидента     43

Это возвращает нас к  теме, которую мы обсуждали в  предыдущей главе.

Обнаружение становится одним из наиболее важных элементов управления
безопасностью для компании. Датчики, расположенные по всей сети (локаль-
ные и облачные), будут играть важную роль при выявлении подозрительной
активности и  создании оповещений. Растущая тенденция в  области кибер­
безопасности заключается в использовании разведывательных данных и рас-
ширенной аналитики для более быстрого обнаружения угроз и  уменьшения
количества ложных срабатываний. Это может сэкономить время и  повысить
общую точность.
В идеале система мониторинга должна быть интегрирована с  датчиками,
чтобы вы могли визуализировать все события на одной панели. Ситуация мо-
жет быть иной, если вы используете разные платформы, которые не позволяют
взаимодействовать друг с другом.
В сценарии, аналогичном тому, что мы рассматривали ранее, интеграция
между системами обнаружения и мониторинга может помочь связать воедино
множество вредоносных действий, которые были выполнены для достижения
конечной цели – извлечения данных и передачи их командно-контрольному
серверу.
Как только инцидент обнаружен и  подтвержден как истинно положитель-
ный, вам нужно либо собрать больше данных, либо проанализировать то, что
у вас уже есть. Если существует постоянная проблема, когда атака происходит
именно в этот момент, вам необходимо быстро получить оперативные данные
о ней и обеспечить способ ее остановить.
По этой причине обнаружение и анализ иногда выполняются почти парал-
лельно, чтобы сэкономить время, а затем это время используется для быстрого
реагирования. При этом важно отметить, что существует отдельная фаза для
сдерживания, удаления и восстановления. Об этом пойдет речь в следующем
разделе данной главы.
Наибольшая проблема возникает, когда у  вас недостаточно доказательств
того, что произошел инцидент в области информационной безопасности и не-
обходимо продолжать сбор данных, чтобы подтвердить достоверность. Иног­
да система обнаружения не видит инцидент. Возможно, о  нем сообщает ко-
нечный пользователь, но он не может воспроизвести проблему именно в этот
момент времени. Нет материальных данных для анализа, и проблема не воз-
никает в  момент вашего прибытия. В  подобных сценариях вам нужно будет
настроить среду для сбора данных и дать пользователю указание обратиться
в службу поддержки в тот момент, когда проблема проявляется.

Передовые методы оптимизации обработки

компьютерных инцидентов
Нельзя определить, что является ненормальным, если вы не знаете, что нор-
мально. Другими словами, если пользователь обнаруживает новый инцидент,
утверждая, что производительность сервера низкая, вы должны знать все об-