"Стоит ли пренебрегать расследованием инцидентов информационной безопасности"

Говорят, что на месте преступления всегда остаются улики. Однако в виртуальной среде нет следов на траве или отпечатков пальцев, которые бы явно указывали на злоумышленника, поэтому довольно сложно определить, кто проник в ИТ-систему и что он конкретно сделал. Более того, часто инциденты информационной безопасности происходят от имени пользователей с расширенными правами или вообще сотрудника службы безопасности. Многие компании по-прежнему испытывают трудности во время судебного расследования просто потому, что у них нет структурированных логов и свидетельств произошедшего, которые бы могли стать неопровержимыми доказательствами совершенного преступления.

В любом случае, независимо от причины произошедшей атаки – ошибки, внешней угрозы или инсайдерской активности – если у вас не будет всех важных данных, вы можете упустить из виду существенные детали, а значит, потратите гораздо больше времени и денег на поиск правды. Как же добраться до истинных проблем, которые привели к инциденту информационной безопасности?