Расследование инцидентов информационной безопасности предполагает не только анализ уязвимостей, событий и атак, но и реконструкцию общей картины — замысла и целей атакующего, границ кампании. Даже если для фиксации событий безопасности применяются эффективные средства, в современных условиях этого зачастую может быть недостаточно для решения комплексной задачи. Более того, атакующие тоже могут активно собирать информацию о средствах защиты и проводимых работах — чтобы снизить их эффективность.
В докладе будет представлен опыт расследования инцидентов ИБ, а также выявленные ограничения средств и практик — для организаций с различным уровнем зрелости ИБ-процессов.