В ходе SOC-Forum прозвучит доклад архитектора по информационной безопасности Security Vision Алексея Баландина «Автоматизация процесса live incident response с помощью kape».
«Расследование инцидентов проводится методом offline и live forensic, - говорит Алексей. - Я хочу рассказать про второй метод, который проводится на живой системе. Его преимущество в том, что он позволяет снять с системы актуальную информацию, которая нужна для расследования. Но проблема в том, что существует очень большое количество разрозненных инструментов, которые часто несовместимы между собой по форматам конфигруации, параметрам запуска и т.д. Специалист, занимающийся расследованиями, должен знать перечень этих инструментов, уметь работать с их настройкой, уметь интерпретировать и классифицировать результаты вывода. На практике такая возможность есть далеко не всегда, и эту проблему решает бесплатный инструмент kape. Kape - обвязка, которая позволяет запускать любое количество инструментов форензики, классифицировать их результаты. Как следствие, уменьшается порог вхождения для специалиста в эту область и значительно сокращается время проведения работ. Я рассмотрю кейсы, которые продемонстрируют эти преимущества».
Доклад Алексея прозвучит в ходе практикума «Детектирование, реагирование и защита от угроз», который пройдет 15 ноября с 14:30 до 16:20.
Напомним, что Security Vision как разработчик передовых решений в области ИБ выступает стратегическим партнером SOC-Forum и примет активное участие в этом мероприятии.