SYSTEMNETWORKS
Incident ResponseБезопасностьНепрерывность бизнеса

Incident Response Plan: как подготовиться к кибератаке до того, как она случится

30 июня 2025 · 11 мин чтения · System Networks

Компания без IR-плана в момент атаки теряет драгоценные часы на выяснение кто что делает. Компания с IR-планом — следует процедуре. Первые 4 часа определяют разницу между контролируемым инцидентом и катастрофой.

⚠️ Базовый факт

91% компаний не имеют протестированного IR-плана. Среди тех кто «имеет» — у большинства он устарел на 2+ года.

6 фаз реагирования на инциденты (NIST)

1.

1. Подготовка (Preparation)

Создать IR-план, назначить роли, подготовить инструменты, провести обучение. Единственная фаза до инцидента.

2.

2. Обнаружение и анализ (Detection & Analysis)

Выявить инцидент, определить тип и масштаб, классифицировать по критичности (P1/P2/P3).

3.

3. Сдерживание (Containment)

Изолировать заражённые системы, предотвратить распространение. Кратко- и долгосрочные меры.

4.

4. Устранение (Eradication)

Удалить вредоносный код, закрыть уязвимости, сменить скомпрометированные учётные данные.

5.

5. Восстановление (Recovery)

Вернуть системы в рабочее состояние, верифицировать корректность, мониторить на предмет рецидива.

6.

6. Разбор полётов (Post-Incident)

Задокументировать инцидент, определить root cause, обновить IR-план. Самая важная фаза для предотвращения повтора.

Playbook для 5 типов инцидентов

Ransomware

  1. Немедленно изолировать заражённые хосты от сети
  2. Остановить резервное копирование (защита backup от шифрования)
  3. Определить «нулевого пациента» через логи EDR
  4. Оценить масштаб: что зашифровано, есть ли чистые бэкапы
  5. Решение: платить или восстанавливать — ТОЛЬКО после оценки

Утечка данных

  1. Определить какие данные и в каком объёме утекли
  2. Заблокировать скомпрометированные аккаунты
  3. Уведомить Роскомнадзор в течение 24 часов (152-ФЗ)
  4. Провести форензику: как данные вышли наружу
  5. Уведомить юридический отдел о потенциальных штрафах

Компрометация аккаунта

  1. Немедленно заблокировать скомпрометированную учётку
  2. Найти все активные сессии и завершить их
  3. Проанализировать действия аккаунта за последние 30 дней
  4. Сменить пароли всех смежных сервисных аккаунтов
  5. Включить MFA если ещё не было

Как тестировать IR-план

Tabletop exercise

Ежеквартально

Команда обсуждает сценарий атаки без реальных действий. Дёшево, быстро.

Red/Blue team exercise

Раз в год

Red team атакует, Blue team защищается. Выявляет реальные пробелы.

Симуляция инцидента

Раз в год

Реальное выполнение IR-плана на учебном инциденте. Самый полезный, требует координации.

Разработка IR-плана и Incident Response

Разработка Incident Response Plan и проведение учений →

Tabletop · Playbooks · Red Team · 24/7 IR-support · Лицензия ФСТЭК

Начнём работу

Защитите инфраструктуру до того, как это потребуется

Бесплатная предварительная консультация. Оценка текущего уровня защиты за 1 день. Первые результаты — в течение недели.

Получить консультациюЗаказать аудит ИБ
+7 (499) 322-26-88info@st-nt.rusupport@st-nt.ru