Причины:
1. Неверная классификация инцидента: Страховщик квалифицирует действия как «операционные расходы» или «досудебные переговоры» вместо «расходов на восстановление безопасности».
2. Отсутствие доказательной базы: Клиент не фиксирует факт утечки кода, данных или компрометации инфраструктуры (нет логов Volatility, нет хэшей бинарников).
3. Пробелы в правилах страхования: Стандартный полис чаще покрывает forensic investigation и PR-консультации, но не покрывает red teaming или pentesting после инцидента (это превентивные меры).
Решение: Используйте `forensic_anvil`-подход: четкая привязка каждого ИБ-действия к условиям полиса (critical incident response vs proactive audit).
1. Покрываются (примеры):
Форензика: Сбор дампов ОЗУ (LiME, DumpIt), анализ артефактов (FTK Imager, Autopsy). Доказательство утечки данных (найдены SQL-дамбы на C2).
Восстановление инфраструктуры: Зачистка бэкдоров (удаление криптомайнеров через `chkrootkit`, `rkhunter`), ротация закрытых ключей (OpenSSL, GPG).
Снятие нагрузки DDoS: Подключение WAF (Cloudflare, Qrator Labs).
PR-митигация: Заливка опровержений, работа с ТГ-каналами (Osintgram, Social-Engineer Toolkit (SET) для сбора контекста).
Юридические издержки: Оплата экспертизы (ст. 78 УПК РФ).
2. Не покрываются:
Пентесты после восстановления (это «усиление защиты», а не «реакция»).
Внутренние курсы повышения квалификации (нет прямой связи с инцидентом).
Критический чек-лист (для ForensicAnvil.ru):
При заключении полиса: укажите методологию DFIR (NIST SP 800-61) в приложении.
При инциденте:
bash
# Фиксация целостности логов (SHA256)
sha256sum /var/log/syslog > evidence/initial_hash.txt
# Сбор артефактов Volatility 3 (усредненный профиль)
python3 vol.py -f memory.raw windows.netscan.NetScan > C2_connections.txtВ акте форензики: явно укажите, что восстановление работоспособности без удаления вредоноса (PMAC) привело бы к падению доверия партнеров (репутационный ущерб).