Видео-кейс: Чёрная пятница в розничной сети. Понедельник, 07:42
T+0–15 МИН
Фаза 1
Detection
Кадр 1
Пустой open-space, рассвет. Один монитор в SOC с мигающим красным алертом. SOC-инженер видит каскад алертов от EDR на 47 рабочих станциях
Кадр 2
Индикатор массового шифрования файлов, расширения меняются на .lock. Это не ложное срабатывание. SOC-инженер открывает IRP — кому звонить первым?
Кадр 3
Дежурный звонок руководителю SOC
ПАУЗА: что делает руководитель SOC в первые 5 минут? Правильный ответ — эскалирует CISO, параллельно начинает изоляцию заражённых сегментов
T+15–45 МИН
Фаза 2
Containment
Кадр 1
CISO на видеосвязи из дома. Главный вопрос: изолировать быстро или расследовать первым? Изоляция уничтожит часть улик
Кадр 2
Схема сети с обведёнными скомпрометированными сегментами. Решение: изоляция приоритетнее. Юристы и экономбез получат данные из логов SIEM
Кадр 3
CISO звонит руководителю экономбеза в 08:15
ПАУЗА: какую информацию экономбез должен получить первой? Что произошло, какие данные затронуты, есть ли признаки инсайдера, уведомлять ли правоохранителей?
T+1–4 ЧАС
Фаза 3
Analysis
Кадр 1
Crisis Room: CEO, CISO, юрист, экономбез, физбез, PR. Параллельные потоки: техническое расследование и управленческие решения
Кадр 2
Карта затронутых систем: 47 рабочих станций, 3 файловых сервера, бухгалтерская система. Атака началась с фишинга бухгалтеру в субботу, открыто в воскресенье с домашнего ноутбука
Кадр 3
Чек-лист экономбеза: фиксация хроники для уголовного дела; координация с правоохранителями; опечатывание оборудования бухгалтера; уведомление топ-клиентов; запрос видеозаписей за выходные
Это первая половина симуляции. На уроке мы остановимся на каждой точке паузы и обсудим, что бы сделали именно вы.