← Документирование и заметки …Порядок летучести: что соби… →

Жизненный цикл реагирования на инцидент

Этот урок описывает каркас, по которому движется любое профессиональное реагирование на инцидент.

Реагирование на инцидент (Incident Response) — структурированный процесс из шести фаз, который превращает хаотичную реакцию на атаку в управляемую и документированную работу.

Когда что-то горит, соблазн — кинуться тушить наугад. Но без процесса легко уничтожить улики, упустить злоумышленника и не понять причину. Поэтому в индустрии принят цикл из шести фаз (модель SANS / близкая к NIST), который задаёт порядок действий. Важно сразу оговорить рамку: всё, о чём идёт речь в этом курсе, относится к легальному расследованию — анализу собственных или корпоративных систем, к которым у вас есть законный доступ, либо учебных и CTF-образов. Реагирование на инцидент — это не слежка и не несанкционированный доступ, а дисциплина защиты: восстановить картину произошедшего на своей инфраструктуре, не нарушив при этом ничьих прав и не повредив доказательства.

За кажущейся бюрократичностью шести фаз стоит простая мысль: инцидент — это стресс, дефицит времени и сильное давление «сделать хоть что-нибудь». В таких условиях люди принимают плохие решения — выключают не ту машину, удаляют не тот файл, рассылают панические письма. Заранее согласованный процесс снимает часть нагрузки с конкретного человека: вместо того чтобы импровизировать, команда движется по знакомому маршруту. Именно поэтому зрелые организации репетируют реагирование на учениях (table-top), как пожарную тревогу.

Шесть фаз

  1. Подготовка (Preparation) — то, что делают до инцидента: политики, инструменты, доступы, обучение, план, контакты. Хорошая подготовка — половина успеха.
  2. Обнаружение и анализ (Detection & Analysis) — заметить инцидент (алерты SIEM, жалобы, аномалии) и понять его масштаб: что затронуто, насколько серьёзно.
  3. Сдерживание (Containment) — остановить распространение: изолировать машину, отозвать сессии, заблокировать индикаторы. Бывает краткосрочным (быстро) и долгосрочным (с сохранением доказательств).
  4. Искоренение (Eradication) — удалить причину: убрать вредоносное ПО, закрыть уязвимость, сменить скомпрометированные учётные данные.
  5. Восстановление (Recovery) — вернуть системы в строй, убедиться, что чисто, и наблюдать за повторной активностью.
  6. Выводы (Lessons Learned) — разбор: что произошло, как реагировали, что улучшить. Закрывает цикл и питает фазу подготовки.

Что именно входит в подготовку

Подготовка — самая недооценённая фаза, потому что её плоды видны только в кризис. На практике это: согласованный план реагирования с понятными ролями (кто командует, кто общается с руководством, кто снимает образы); набор и проверка инструментов (загрузочный носитель с доверенными утилитами, средства снятия памяти и образов, защищённое хранилище для улик); заранее выданные доступы и контакты (юристы, провайдеры, при необходимости — правоохранительные органы); и шаблоны документов — журнал действий, форма цепочки хранения доказательств. Отдельно стоит вопрос полномочий: до инцидента нужно понимать, на анализ чего у вас есть право, чтобы в горячий момент не выйти за рамки закона.

Обнаружение, анализ и приоритизация

Не каждый алерт — инцидент, и не каждый инцидент одинаково опасен. На фазе анализа важно отделить ложные срабатывания от реальных и оценить серьёзность: какие системы и данные затронуты, есть ли признаки утечки персональных данных (что в РФ запускает обязательства по 152-ФЗ), активен ли злоумышленник прямо сейчас. Приоритизация определяет темп: ransomware, шифрующий файловые серверы в реальном времени, требует иной скорости, чем подозрительный вход в малозначимый аккаунт.

Как работает под капотом

Цикл не строго линейный: при сдерживании можно обнаружить новый очаг и вернуться к анализу. Важна связь криминалистики с IR: фазы сдерживания и искоренения должны выполняться после или одновременно со сбором доказательств, иначе вы уничтожите улики. Поэтому в долгосрочном сдерживании сначала снимают память и образ, и лишь потом «вычищают».

Через все шесть фаз красной нитью проходит документирование. Каждое значимое действие фиксируется с отметкой времени, исполнителем и обоснованием: во сколько изолировали хост, кто снял образ, какой хеш получился, куда положили носитель. Эта дисциплина решает сразу две задачи. Во-первых, она поддерживает цепочку хранения доказательств (chain of custody) — непрерывную историю того, кто, когда и зачем притрагивался к уликам, без которой материал теряет доказательную силу. Во-вторых, она защищает самого исследователя: если позже возникнет спор, журнал покажет, что вы действовали методично и в рамках полномочий.

  Подготовка
      |
      v
  Обнаружение --> Анализ
      |              ^
      v              | (новый очаг)
  Сдерживание -------+
      |
      v
  Искоренение
      |
      v
  Восстановление
      |
      v
  Выводы --(улучшают)--> Подготовка

Сдерживание vs доказательства

Здесь возникает классический конфликт: бизнес хочет «погасить пожар немедленно», а криминалист — «сначала зафиксировать». Решение — краткосрочное сдерживание, которое останавливает ущерб без уничтожения улик (например, сетевая изоляция вместо выключения), а сбор образов — параллельно.

На практике этот баланс достигается заранее оговорёнными приоритетами. Если под угрозой жизнь людей или критическая инфраструктура — спасение важнее улик, и это нормально. В большинстве же корпоративных инцидентов есть несколько минут на то, чтобы изолировать хост по сети (отключить порт, поместить в карантинный VLAN), сняв при этом дамп памяти, и только затем переходить к чистке. Ключ — не выбирать вслепую между «тушить» и «фиксировать», а применять сдерживание, которое сохраняет летучие данные.

Частые ошибки

  • Пропуск подготовки. Без плана и инструментов реакция превращается в импровизацию.
  • Искоренение до сбора улик. «Переустановили систему» = уничтожили доказательства и не узнали причину.
  • Выключение машины для изоляции. Теряется память; лучше изолировать сетево.
  • Нет фазы выводов. Без разбора те же ошибки повторятся.
  • Действия без журнала. Несохранённая хронология действий ломает цепочку хранения и обесценивает результат.
  • Выход за рамки полномочий. Сбор данных там, где нет права доступа, незаконен — даже из лучших побуждений.

Итоги

  • Шесть фаз: подготовка, обнаружение/анализ, сдерживание, искоренение, восстановление, выводы.
  • Цикл не строго линейный; новый очаг возвращает к анализу.
  • Сбор доказательств идёт до или параллельно искоренению, иначе улики гибнут.
  • Документирование и цепочка хранения проходят через все фазы; работаем только в рамках законного доступа.
Проверьте себя
1. Какая фаза реагирования выполняется ДО инцидента?
AСдерживание
BПодготовка
CВосстановление
DИскоренение
2. Почему искоренение нельзя проводить до сбора доказательств?
AЭто медленнее
BУдаление вредоноса и переустановка уничтожают улики и причину
CЗакон это запрещает
DИскоренение не относится к IR
3. Как изолировать машину, сохранив оперативную память для анализа?
AВыключить её
BСетевая изоляция вместо выключения
CОтформатировать диск
DПерезагрузить в безопасном режиме