Доклад «Что делать, если все зашифровано»

Когда всё зашифровано: что делать? Не важно, как вы защищались — важно, как восстанавливаетесь. Узнайте, что делать, когда шифровальщик уже в сети и IT-план бессилен. От реальных кейсов до пошаговой методики SANS: подготовка, идентификация, сдерживание, ликвидация. Почему 80% успеха — это действия до атаки? Как защитить резервные копии, обезвредить закладки злоумышленников и не дать им вернуться? 00:00:05 — Введение: фокус на реагировании, а не на профилактике 00:00:38 — Почему IT-план восстановления часто бесполезен при ransomware 00:02:01 — Разница между инцидентом и кибератакой: адаптивность, злонамеренность, помехи в восстановлении 00:02:55 — Реагирование — задача всей компании: от топ-менеджмента до юриста 00:03:17 — Атаки чаще всего начинаются в выходные: тактика злоумышленников 00:04:19 — Создание практических рекомендаций на основе опыта коллег и закрытых форумов 00:08:42 — Этап 1: Подготовка (80% успеха) — логи, их хранение, доступность, глубина 00:10:08 — Этап 2: Идентификация инцидента — признаки атаки (EDR, MDR, массовое отключение AV) 00:11:29 — Инвентаризация учетных записей и сброс всех паролей, сертификатов, SSH-ключей 00:13:16 — Опасность утечки данных: злоумышленники парсят и перебирают учетки по всем сервисам 00:15:01 — Подготовка отчетов для регуляторов: честность и полнота информации 00:15:54 — Этапы сдерживания (Containment) и ликвидации (Eradication) 00:16:47 — Защита системы резервного копирования: сегментация, изоляция, безопасность администрирования 00:21:48 — Рекомендации по архитектуре СРК: отключение удаленного управления, сегментация рабочих мест 00:23:54 — Создание слепков систем перед публикацией в интернет — страховка для восстановления 00:24:42 — Проверка бэкапов на заражение перед восстановлением 00:27:33 — Универсальность подхода: применимо для бизнеса любого масштаба