44    Процесс реагирования на компьютерные инциденты

стоятельства, прежде чем делать поспешный вывод. Чтобы знать, медленно ли

работает сервер, для начала нужно выяснить, какая скорость считается нор-
мальной. Это также относится к сетям, приборам и другим устройствам. Чтобы
нейтрализовать подобные сценарии, убедитесь, что у вас есть:
 системный профиль;
 сетевой профиль / базовый уровень;
 политика хранения логов;
 синхронизация часов во всех системах.
Исходя из этого, вы сможете установить, что является нормальным во всех
системах и  сетях. Это будет очень полезно, когда происходит инцидент. Вам
необходимо определить, что является нормой, прежде чем приступить к устра-
нению проблемы с точки зрения безопасности.

Деятельность после инцидента

Приоритет инцидента может диктовать стратегию сдерживания. Например,
если вы имеете дело с  DDoS-атакой, которая была выявлена как инцидент
с  высоким приоритетом, стратегия сдерживания должна рассматриваться
с тем же уровнем критичности. Редко бывает, когда ситуациям, при которых
инциденту, классифицированному как очень серьезный, предписывают меры
сдерживания со средним приоритетом, если проблема не была каким-либо об-
разом решена между фазами.

Реальный сценарий
В качестве реального примера возьмем эпидемию, вызванную WannaCry, ис-
пользуя вымышленную компанию «Diogenes & Ozkaya Inc.», чтобы продемон-
стрировать сквозной процесс реагирования на компьютерные инциденты.
12 мая 2017 г. некоторые пользователи позвонили в службу поддержки, со-
общив, что видят у себя на экране это – рис. 2.5.
После первоначальной оценки и подтверждения проблемы (этап обнаруже-
ния) была задействована команда безопасности и создан инцидент. Поскольку
многие системы сталкивались с  одной и  той же проблемой, степень серьез-
ности этого инцидента повысили до высокой. Они использовали свой анализ
угроз, чтобы быстро идентифицировать, что это было заражение, вызванное
программой-вымогателем. Для того чтобы предотвратить заражение других
систем, им пришлось применить патч MS17-00 (3).
На этом этапе группа реагирования работала по трем различным направ-
лениям: одни пытались сломать шифрование программы-вымогателя, другие
стремились выявить иные системы, которые были уязвимы для этого типа
атак, а третьи работали, чтобы сообщить о проблеме прессе.
Они проконсультировались со своей системой управления уязвимостями
и определили множество других систем, в которых отсутствовало это обновле-
ние, запустили процесс управления изменениями и повысили приоритет это-