Скільки коштує послуга Incident Response retainer і що вона включає?
IR retainer — послуга, яка передбачає попередню оплату за готовність команди реагування на інциденти, що дозволяє швидко зреагувати у разі атаки, не витрачаючи час на пошук підрядника в момент надзвичайної ситуації. Вона дає змогу не лише оперативно розпочати реагування, а й отримати професійну підтримку протягом всього процесу інциденту, забезпечуючи надійне управління ситуацією від початку до завершення.
Що включає IR retainer?
Гарантований час старту (SLA) та виділений канал ескалації.Це забезпечує, що команда реагування готова приступити до роботи в максимально короткий час (наприклад, 2-4 години). Є чітке визначення часу, протягом якого підрядник має почати роботу після повідомлення про інцидент. Така домовленість дозволяє зберегти час, коли кожна хвилина важлива.
Пакет годин DFIR/IR (Digital Forensics and Incident Response).Включає певну кількість годин, яку ви можете використати для реагування на інциденти (наприклад, 20, 40 або 80 годин) або “кредит” на роботи, що дозволяє оперативно проводити перевірку і розслідування без необхідності узгоджувати кожну годину додатково.
Підготовка:Це базові заходи, які необхідно провести до інциденту, щоб бути готовими до швидкої реакції:● Перевірка налаштувань логування та моніторингу.● Створення актуального списку контактів (керівництво, ІТ, юридичний відділ, підрядники).● Розробка та адаптація базових playbook (інструкцій) для реагування на різні типи інцидентів.● Проведення tabletop exercise — тренування на випадок інциденту для команд, щоб забезпечити готовність до швидкої та злагодженої роботи.
Реагування на інцидент:Коли інцидент стається, IR retainer включає:● Тріаж (первісна оцінка ситуації): визначення масштабів атаки та пріоритетних дій.● Ізоляція: відключення або обмеження доступу до уражених систем.● Збір доказів: фіксація всіх важливих даних, які можуть бути використані для розслідування.
Розслідування: детальний аналіз подій та причин інциденту.
Рекомендації: що робити для відновлення систем та зменшення ризиків.
Післяінцидентний звіт та план з рекомендаціями:Після завершення розслідування надається звіт, в якому докладно описується, що сталося, як це було виправлено, і які кроки треба вжити для запобігання подібним інцидентам у майбутньому. Це включає пропозиції щодо поліпшення безпеки і можливих оновлень інфраструктури.
Вартість IR retainerВартість послуги залежить від кількох факторів:
● Масштаб інфраструктури: кількість локацій, ендпоінтів, хмарних сервісів і систем, що потребують моніторингу.● SLA: швидкість реагування, яка визначає, наскільки оперативно підрядник має почати реагувати на інцидент.● Кількість годин: вартість також залежить від того, скільки годин входить до договору — чим більше годин, тим вищий пакет.
На практиці IR retainer зазвичай дешевший, ніж реагувати "з нуля" без попередньої підготовки, оскільки дає змогу діяти швидко, без затримок на укладення договорів або знаходження підрядників у критичний момент.