Постмортем
Что такое Постмортем?
ПостмортемБезобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.
Постмортем по безопасности — структурированная ретроспектива, превращающая инцидент в организационный опыт. Команда восстанавливает хронологию по логам, тикетам и чатам, выделяет, что сработало и что нет, и прослеживает факторы при помощи техник вроде «пяти почему» или причинных карт. Результат — документ с конкретными мерами и ответственными: недостающие правила обнаружения, сломанные плейбуки, пробелы в инструментах, потребности в обучении и процессах. Чтобы постмортем приносил пользу, он должен быть безобвинительным, сфокусированным на системе, ограниченным по времени и отслеживаться до выполнения всех действий.
● Примеры
- 01
Разбор почти случившегося шифровальщика выявляет отсутствие MFA в старой учётке VPN.
- 02
Фиксация того, как шумное правило заглушили за три недели до реальной атаки, использовавшей ту же технику.
● Частые вопросы
Что такое Постмортем?
Безобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения. Относится к категории Защита и операции в кибербезопасности.
Что означает Постмортем?
Безобвинительный разбор после инцидента, в котором фиксируют хронологию, факторы, способствовавшие проблеме, и конкретные шаги для её предотвращения или раннего обнаружения.
Как работает Постмортем?
Постмортем по безопасности — структурированная ретроспектива, превращающая инцидент в организационный опыт. Команда восстанавливает хронологию по логам, тикетам и чатам, выделяет, что сработало и что нет, и прослеживает факторы при помощи техник вроде «пяти почему» или причинных карт. Результат — документ с конкретными мерами и ответственными: недостающие правила обнаружения, сломанные плейбуки, пробелы в инструментах, потребности в обучении и процессах. Чтобы постмортем приносил пользу, он должен быть безобвинительным, сфокусированным на системе, ограниченным по времени и отслеживаться до выполнения всех действий.
Как защититься от Постмортем?
Защита от Постмортем обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Постмортем?
Распространённые альтернативные названия: Безобвинительный разбор, Lessons learned.
● Связанные термины
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- forensics-ir№ 525
План реагирования на инциденты
Утверждённый документ, описывающий, как организация готовится, обнаруживает, сдерживает, ликвидирует, восстанавливается и извлекает уроки из киберинцидентов.
- defense-ops№ 999
Плейбук безопасности
Документированная повторяемая процедура, которая указывает реагирующим, что именно и в каком порядке делать при определённом типе оповещения или инцидента.
- forensics-ir№ 1127
Настольные учения
Дискуссионная симуляция, в которой заинтересованные стороны проходят гипотетический киберинцидент для проверки планов, ролей, решений и коммуникаций.
- defense-ops№ 660
MTTC (среднее время сдерживания)
Среднее время между обнаружением инцидента и моментом, когда угроза больше не может распространяться, экстрагировать данные или наносить дополнительный ущерб.