10 вопросов эксперту по форензике (DFIR)

Зачем проводить расследование, какие последствия кибератаки поможет минимизировать корректное реагирование на инциденты, спросили у руководителя группы расследования инцидентов Центра исследований киберугроз Solar 4RAYS Ивана Сюхина.

10 вопросов про работу DFIR-специалиста (digital forensics&incident response):
00:18 Если стоит антивирус, хакер не пройдет, правильно?
01:18 Если я перезагружу систему во время атаки, я же помешаю атакующим?
02:36 Стоит ли заплатить выкуп хакерам, чтобы быстрее всё восстановить?
03:42 Чем вообще занимается специалист по Digital Forensics & Incident Response?
05:35 Зачем вам детали об инфраструктуре и дампы? Приезжайте и проверяйте на месте.
06:31 Компьютер был выключен во время атаки — его можно смело включать?
07:40 Можете провести расследование, если инцидент был год назад?
08:38 Безопасно ли после атаки восстанавливать данные из резервной копии?
09:51 Можно же просто переустановить Windows на заражённом компьютере. Зачем нам расследование?
10:57 Даете ли вы гарантию, что после расследования и реагирования нас больше не взломают?
12:42 Заключение – нельзя предотвратить атаку, можно снизить её импакт и не допустить инцидент

Своевременное экспертное расследование и правильное реагирование помогут снизить поверхность кибератаки, а устранение вектора атаки – минимизировать ее последствия. Расследование последствий кибератаки возможно даже спустя несколько лет, если у вас остались копии системы в момент инцидента и другие артефакты присутствия злоумышленников.