Берясь за реагирование на инцидент ИБ, очень важно понимать последствия. Прежде чем удалять persistance, сбивать и зачищать инструменты, используемые атакующими, необходимо вычислить все C2, и, по возможности, одновременно их закрыть. Получив уверенность в том, что атакующий потерял удаленное управление, можно спокойно вычищаться.
Но и этого мало. Усиленный мониторинг, а точнее TH, должны сохраниться до окончания IR - чтобы проследить, что ни уже выявленные ТТР, ни какие-то новые не пытаются быть примененными, а также, что не осталось что-то, чего по какой-то причине не заметили, в рамках проводимого перед IR расследования, и что стало проявляться только в "экстренной ситуации", когда атакующий понял, что им занимаются.
Но есть еще момент, который всегда иногда выпадает из внимания: если вас уже ломали, скорее всего, поломают еще раз. Чтобы быть готовым к этому, TH и IR должны стать операционными процессами по выявлению, расследованию, устранению, корректировке политик превентивных и детектирующих инструментов и процедур. Примитивный таймлайн - на картинке :).
Именно поэтому, исключительно IR без поддержки TH представляется менее эффективным, верно и обратно - только TH - мало, ибо кто-то должен реагировать на выявленные инциденты. Что, в целом, и подтверждается практикой.
