Angara Security
@angarasecurity
Рубрика «Отвечаем на частые вопросы»
Ранее мы рассказывали, сколько времени занимает расследование инцидента. Сегодня на разборе ещё один вопрос.
Очистка ИТ-инфраструктуры действительно позволяет быстро возобновить бизнес-процессы. Однако за видимыми последствиями атаки, зашифрованными файлами или упавшими сервисами, почти всегда скрывается большее: точка первоначального проникновения, множественные места закрепления и бэкдоры. Причём даже там, где аномальной активности не фиксировалось.
Если просто «зачистить» системы, не разобравшись в механике атаки, высока вероятность того, что:
атакующий вернётся через тот же вектор, поскольку уязвимость не устранена,
в системе останутся «спящие» вредоносы, которые станут активными спустя недели или месяцы,
скомпрометированные учётные данные продолжат использоваться, в том числе подрядчиками,
масштаб инцидента останется неизвестен, а значит, корректно уведомить регуляторов и клиентов не получится.
Расследование — это не формальность и не способ «затянуть» восстановление. Это единственный способ понять, как злоумышленник оказался внутри, что он успел сделать и что изменить, чтобы ситуация не повторилась.
В критической ситуации важно быстро вернуть бизнес к работе. Поэтому мы, команда реагирования Angara MTDR, вместе с вами находим оптимальный путь: восстановить процессы в кратчайшие сроки и параллельно разобраться в причинах, чтобы ликвидировать угрозу, а не её симптомы.
MAX | ВКонтакте | Сайт
Ранее мы рассказывали, сколько времени занимает расследование инцидента. Сегодня на разборе ещё один вопрос.
Почему изолировать и перезалить заражённую машину (или даже целый сегмент!) недостаточно?
Очистка ИТ-инфраструктуры действительно позволяет быстро возобновить бизнес-процессы. Однако за видимыми последствиями атаки, зашифрованными файлами или упавшими сервисами, почти всегда скрывается большее: точка первоначального проникновения, множественные места закрепления и бэкдоры. Причём даже там, где аномальной активности не фиксировалось.
Если просто «зачистить» системы, не разобравшись в механике атаки, высока вероятность того, что:
атакующий вернётся через тот же вектор, поскольку уязвимость не устранена,
в системе останутся «спящие» вредоносы, которые станут активными спустя недели или месяцы,
скомпрометированные учётные данные продолжат использоваться, в том числе подрядчиками,
масштаб инцидента останется неизвестен, а значит, корректно уведомить регуляторов и клиентов не получится.
Расследование — это не формальность и не способ «затянуть» восстановление. Это единственный способ понять, как злоумышленник оказался внутри, что он успел сделать и что изменить, чтобы ситуация не повторилась.
В критической ситуации важно быстро вернуть бизнес к работе. Поэтому мы, команда реагирования Angara MTDR, вместе с вами находим оптимальный путь: восстановить процессы в кратчайшие сроки и параллельно разобраться в причинах, чтобы ликвидировать угрозу, а не её симптомы.
MAX | ВКонтакте | Сайт
🔥 8
👍 4
💯 3
1 621
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram