Codeby
@codeby_sec
57% компаний узнают о взломе не от своего SOC. Почему?
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
Mandiant M-Trends 2025 фиксирует неприятную реальность: больше половины организаций получают новость о компрометации от внешней стороны — партнёра, регулятора, иногда журналиста. Не от собственного SIEM, не от EDR, не от аналитика на смене.
🔍 Медиана присутствия атакующего в сети до обнаружения — 11 дней. Звучит как исторический минимум, и формально так и есть. Но за 11 дней злоумышленник проходит полный kill chain: фишинг → закрепление → боковое перемещение → выгрузка данных или шифрование инфраструктуры. Когда вы узнаёте об атаке, ущерб уже нанесён.
Почему так происходит? Потому что SIEM ловит сигнатуры, а не контекст. Атакующий, который использует валидные учётные записи и штатные инструменты вроде
powershell.exe или wmic, не триггерит стандартные правила корреляции. Он выглядит как легитимный администратор.📊 Ещё одна цифра от IBM X-Force 2025: самый распространённый тип малвари сегодня — инфостилеры (32%), они обогнали шифровальщиков. А среднее время между публикацией CVE и устранением уязвимости в организации — 29 месяцев. Два с половиной года. Атакующим не нужны zero-day, когда окно открыто настолько широко.
⚙️ Расследование кибератаки — управляемый процесс с чёткими фазами. Два основных фреймворка — NIST SP 800-61 и SANS — описывают одну и ту же логику разными словами:
1. Подготовка — IR-план, playbook, инструменты наготове
2. Обнаружение и анализ — triage алерта, определение скоупа
3. Сдерживание — изоляция хоста, сегмента, учётки
4. Устранение и восстановление — очистка, пересоздание, возврат в продакшн
5. Разбор полётов — отчёт, timeline, IOC-приложения
Ключевое различие: NIST объединяет шаги 3-4, потому что на практике они идут параллельно. Вы изолируете один сегмент и тут же чистите соседний. SANS разбивает их последовательно, что удобнее для команд, которые строят процесс с нуля.
Но выбор фреймворка вторичен. Критично другое — сам факт наличия документированного плана. Без него каждый инцидент превращается в импровизацию, где теряются артефакты, затираются логи и уничтожаются доказательства.
🎯 Практический чеклист на первые 30 минут:
• Подтвердить алерт — это true positive?
• Определить скоуп — один хост или сегмент?
• Изолировать, не выключая — сохранить содержимое RAM
• Зафиксировать время — таймлайн начинается сейчас
Мы собрали полную карту Incident Response — от первого алерта до финального отчёта, с разбором форензики, анализа памяти, threat hunting и реальных кейсов. Все детали — в полной статье.
https://codeby.net/threads/rassledovaniye-kiberataki-polnaya-karta-incident-response-ot-obnaruzheniya-do-otcheta.93680/
❤ 9
👍 6
🔥 3
40 3K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram