Реагування на інциденти (Incident Response)
Управління наслідками кібератак.
## The IR Lifecycle (NIST Framework)
1. Preparation: The most critical phase. If you don't have the tools and team ready before the attack, the rest of the phases will likely fail.
2. Detection & Analysis: Using tools like SIEM and EDR to confirm an event is an actual security incident.
3. Containment, Eradication, & Recovery: The 'battle' phase where the threat is isolated and removed.
4. Post-Incident Activity: Reviewing what went wrong to harden defenses for the future.
graph LR
Center["Реагування на інциденти (Incident Response)"]:::main
Pre_cybersecurity["cybersecurity"]:::pre --> Center
click Pre_cybersecurity "/terms/cybersecurity"
Pre_malware_analysis["malware-analysis"]:::pre --> Center
click Pre_malware_analysis "/terms/malware-analysis"
Pre_network_security["network-security"]:::pre --> Center
click Pre_network_security "/terms/network-security"
Center --> Child_digital_forensics["digital-forensics"]:::child
click Child_digital_forensics "/terms/digital-forensics"
Center --> Child_disaster_recovery["disaster-recovery"]:::child
click Child_disaster_recovery "/terms/disaster-recovery"
Rel_security_operations_center_soc["security-operations-center-soc"]:::related -.-> Center
click Rel_security_operations_center_soc "/terms/security-operations-center-soc"
Rel_vulnerability_management["vulnerability-management"]:::related -.-> Center
click Rel_vulnerability_management "/terms/vulnerability-management"
Rel_siem["siem"]:::related -.-> Center
click Rel_siem "/terms/siem"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧒 Простими словами
🚑 Реагування на інциденти — це як мати власну пожежну команду для даних компанії. Коли хакери 'підпалюють' систему, команда IR поспішає на допомогу, щоб загасити пожежу, врятувати файли та допомогти компанії повернутися до роботи, переконавшись, що хакери не зможуть повернутися.
🤓 Expert Deep Dive
Процес IR стандартизований фреймворками, такими як NIST SP 800-61, і зазвичай складається з шести фаз: 1. Підготовка (створення команди та інструментів); 2. Ідентифікація (виявлення обсягу та типу атаки); 3. Стримування (ізоляція уражених систем); 4. Елімінація (видалення загрози); 5. Відновлення (повернення систем до роботи); та 6. Висновки (аналіз помилок). Сучасний IR все частіше автоматизується за допомогою платформ SOAR.