«Паника, это шум, который мешает думать. В первые минуты после инцидента нужно не бегать, не кричать и не думать, как тебя уволят. Нужно начать выполнять простой и понятный алгоритм, который не зависит от размера ущерба или должности. Этот алгоритм останавливает распространение утечек, сохраняет улики и возвращает тебе контроль.»
Что происходит?
У тебя в руках телефон с сообщением «сервис лежит». Или коллега заглядывает в чат и говорит, что видел на форуме ваши корпоративные данные. Или тревожная панель мониторинга загорается красным, показывая аномальный исходящий трафик. Мозг на секунду отключается, возникает мысль: «Это невозможно, у нас же…». Эта первая реакция — нормальна, но опасна. Дальше обычно начинается хаос: звонки руководству, панические сообщения в чат, попытки перезагрузить всё подряд. Эти действия тратят драгоценное время и могут уничтожить следы атаки.
Шаг 1: Дыши и оставайся на месте
Первая физическая реакция — сорваться с места, бежать к серверной или к коллегам. Не делай этого. Остановись на 60 секунд. Оцени ситуацию, но не пытайся сразу всё исправить. Запиши на бумаге или в текстовом файле время, как ты узнал о проблеме, и что именно ты увидел. Это не для отчёта, это якорь, который вернёт тебя к фактам, когда эмоции захлестнут. Твоя задача сейчас не отбить атаку, а перейти из режима «реагирования» в режим «управления ситуацией».
Шаг 2: Отключись от сети. Абсолютно.
Если инцидент затронул твой ноутбук или рабочую станцию — отключи её от проводной сети и отключи Wi-Fi. Не просто «выйди из сети корпоративной», а физически отключи кабель и выключи адаптер беспроводной связи в системе. Это первое и самое важное действие по сдерживанию угрозы. Оно прерывает канал управления злоумышленника и останавливает возможное горизонтальное перемещение внутри сети.
Если речь идёт о сервере или сетевом устройстве, с которым ты работаешь, — не трогай его. Не пытайся войти на него для проверки. Изолируй его на уровне сети: свяжись (с телефона или с другого, гарантированно чистого компьютера) с теми, кто управляет сетевым оборудованием (маршрутизаторами, межсетевыми экранами), и дай команду заблокировать весь входящий и исходящий трафик с этого IP-адреса или сегмента сети. Конкретная команда зависит от вендора, но суть одна: поместить узел в карантин.
Шаг 3: Предупреди, но правильно
Нужно сообщить о проблеме. Ключевое слово — предупредить, а не начать обсуждение. Найди заранее определённый канал для экстренных инцидентов (выделенный чат, номер телефона руководителя ИБ). Отправь чёткое сообщение по шаблону: «Критический инцидент ИБ. Время: [ЧЧ:ММ]. Затронуто: [описание системы/сервиса]. Действия на данный момент: [устройство изолировано от сети]. Требуется: [созвать группу реагирования, подключить сетевого администратора].» Избегай расплывчатых формулировок вроде «кажется, нас взломали».
Шаг 4: Собери улики, не трогая систему
Пока ты находишься у изолированного компьютера, но уже сообщил о проблеме, можно собрать первичные улики, не изменяя состояние системы. Не запускай сканеры, не копируй логи в папку на том же диске.
- Сделай фотографию экрана, если на нём есть аномальные окна, сообщения об ошибках или активные сессии.
- Если есть второй, чистый компьютер и USB-накопитель, подготовленный для таких случаев (заранее отформатированный и прошитый от вирусов), можно осторожно скопировать самые свежие логи. Но только если ты точно знаешь, где они лежат, и это действие не займёт больше пары минут. В приоритете: журналы событий ОС, файлы истории командной оболочки (например, .bash_history), дампы оперативной памяти, если есть инструменты для их безопасного снятия.
- Запиши в тот же текстовый файл имена пользователей, которые были залогинены в системе на момент инцидента, открытые необычные порты (можно быстро посмотреть вывод netstat -an), подозрительные процессы.
Это не полноценный форензик, а «фотография места происшествия».
Шаг 5: Не выключай. Не перезагружай.
Инстинктивное желание — выдернуть шнур или нажать кнопку Reset. Это грубая ошибка. При выключении стирается оперативная память — главный источник улик: пароли в открытом виде, ключи шифрования, активные сетевые соединения злоумышленника. Современные атаки часто живут только в памяти. Перезагрузка может привести к потере критичных данных, которые не восстанавливаются из логов.
Единственный случай, когда выключение оправдано, это физическая угроза безопасности людей или оборудования (например, дым от сервера). Во всех остальных случаях машина должна оставаться включённой, но отключённой от сети.
Следующие шаги: переход к расследованию
Через 10 минут у тебя должно быть:
- Заражённая система изолирована от внутренней и внешней сети.
- Ключевые лица оповещены чётким сообщением.
- Собраны первичные, неизменяемые улики (фото, заметки, возможно, логи).
- Система остаётся во включённом состоянии.
После этого начнётся фаза координации. Прибудет группа реагирования. Тебе, как обнаружившему, нужно будет кратко и по фактам рассказать, что ты увидел и что сделал. Передать собранные данные. Дальнейшие действия — создание диска-образа для форензики, анализ логов, поиск вектора проникновения, это уже командная работа. Но первые 10 минут были критичны: угроза локализована, улики сохранены, паника под контролем. Именно эти минуты определяют, сможешь ли ты потом восстановить работу или будешь месяцами гадать, как же это произошло.
Алгоритм не требует глубоких экспертных знаний. Он требует дисциплины и понимания простого принципа: сначала сдерживай, потом разбирайся. Всё остальное — детали.