Reagowanie na incydenty
Reagowanie na incydenty naruszenia bezpieczeństwa komputerowego idzie zazwyczaj w parze bezpośrednio z informatyką śledcza. Już od samego początku zastosowane podejście może być decydujące dla powodzenia reakcji na incydent, w tym uniemożliwienia eskalacji problemu.

W tego typu pracy szalenie istotne jest posiadanie doświadczenia związanego z analizą powłamaniową, ponieważ dane powinny zostać zabezpieczone w należyty sposób dzięki czemu nie utracą wartości dowodowej. Każda przeprowadzona operacja przez niedoświadczoną osobę może skutkować zatarciem śladów włamania, a wydłużający się czas analizy bezpośrednio przekłada się na ryzyko, iż atakujący ma możliwość dalszej penetracji infrastruktury organizacji.
Najczęściej wykorzystywana jest w tym przypadku technika live forensics, a obraz dysku może zostać wykonana nawet bez wyłączania komputera. Szczególnie ważnym aspektem jest zabezpieczanie od danych najbardziej ulotnych takich jak pamięć RAM. W przypadku reakcji na incydent priorytetowy jest czas oraz odpowiedzi na pytania takie jak: co się właściwie stało? jak doszło do naruszenia bezpieczeństwa? kto jest za nie odpowiedzialny?
Skuteczne reagowanie na incydenty wymaga praktycznej wiedzy z zakresu red teamingu i testów penetracyjnych ponieważ tylko taka osoba rozumie i dostrzega ślady ataków w przeciwieństwie do osoby bez tego doświadczenia, w przypadku której istnieje spore ryzyko przeoczenia istotnych informacji.
Posiadamy szerokie doświadczenie w reagowaniu na incydenty od informatyki śledczej i analizy powłamaniowej po pracę w zespole CSIRT (CERT) ochraniającym infrastrukturę krytyczną.
Adam Ziaja jest autorem książki „Praktyczna analiza powłamaniowa. Aplikacja webowa w środowisku Linux” (ISBN 9788301193478) poruszającej tematykę informatyki śledczej i reagowania na incydenty (DFIR), wydanej przez Wydawnictwo Naukowe PWN.