Постмортем
Что такое Постмортем?
ПостмортемБезобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.
Постмортем по безопасности — структурированная ретроспектива, превращающая инцидент в организационный опыт. Команда восстанавливает хронологию по логам, тикетам и чатам, выделяет, что сработало и что нет, и прослеживает факторы при помощи техник вроде «пяти почему» или причинных карт. Результат — документ с конкретными мерами и ответственными: недостающие правила обнаружения, сломанные плейбуки, пробелы в инструментах, потребности в обучении и процессах. Чтобы постмортем приносил пользу, он должен быть безобвинительным, сфокусированным на системе, ограниченным по времени и отслеживаться до выполнения всех действий.
● Примеры
- 01
Разбор почти случившегося шифровальщика выявляет отсутствие MFA в старой учётке VPN.
- 02
Фиксация того, как шумное правило заглушили за три недели до реальной атаки, использовавшей ту же технику.
● Частые вопросы
Что такое Постмортем?
Безобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения. Относится к категории Защита и операции в кибербезопасности.
Что означает Постмортем?
Безобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.
Как защититься от Постмортем?
Защита от Постмортем обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Постмортем?
Распространённые альтернативные названия: Безобвинительный разбор, Lessons learned.