BI.ZONE DFIR
Digital Forensics and Incident Response
Оперативно нейтрализуем угрозы и проводим расследования
Эта страница 10/10?
Поделитесь мнением о нашем сайте в интервью и получите мерч
Подробнее
Назначение
Инцидент кибербезопасности — это любое событие, из-за которого нарушается сохранность информации: от утечки паролей к вашим системам до шифрования всех данных в компании и остановки бизнес-процессов.
Эксперты BI.ZONE обеспечат оперативное реагирование на инцидент и проведут тщательное расследование, чтобы свести финансовые и репутационные потери к минимуму
Эксперты BI.ZONE обеспечат оперативное реагирование на инцидент и проведут тщательное расследование, чтобы свести финансовые и репутационные потери к минимуму
Почему мы
Быстрое реагирование
Оперативно обнаруживаем причину взлома и устраняем ее в кратчайшие сроки
Угрозоцентричный подход
Фокусируемся на наиболее релевантных угрозах благодаря информации с портала BI.ZONE Threat Intelligence
100+
расследований инцидентов в год
Профессионализм экспертов BI.ZONE подтверждают сертификаты ведущих международных организаций
С какими инцидентами мы помогаем
Атаки шифровальщиков
Утечки данных
Фишинговые атаки и business email compromise
Взломы сайтов
Кибершпионаж
Атаки на IoT и АСУ ТП
Этапы работы
Мы подходим к каждому инциденту индивидуально и оказываем поддержку на любом этапе
-
Идентификация угрозы
Опрашиваем ваших специалистов, на основе результатов собираем данные для квалификации угрозы
- Сбор первичных данных
- Квалификация угрозы
-
Локализация и нейтрализация угрозы
Выявляем скомпрометированные устройства, делаем резервные копии, устраняем угрозу и восстанавливаем системы
- Сбор технических сведений
- Выявление скомпрометированных устройств и данных
- Формирование плана реагирования
- Нейтрализация угрозы
- Восстановление систем
-
Расследование инцидента
Выясняем, как злоумышленник проник в инфраструктуру, как он действовал и какую информацию искал
- Комплексное исследование собранных данных
- Определение источника компрометации системы
- Поиск инструментов, использованных злоумышленником
- Анализ вредоносного ПО
- Восстановление удаленных и поврежденных данных
-
Подготовка отчета
Подводим итоги идентификации и нейтрализации угрозы. Подробно описываем причины и последствия инцидента, а также даем рекомендации, как избежать его повторения в будущем
- Разработка рекомендаций по модернизации системы кибербезопасности
- Описание проведенного реагирования
Форматы услуги
| Характеристика | Расширенное реагирование | Точечное реагирование |
|---|---|---|
|
Область исследования
|
Вся инфраструктура
|
Только скопроментированные хосты и хосты, к которым привело расследование
|
|
Мониторинг во время расследования
|
|
|
|
Отчет по уязвимостям на периметре и мисконфигурациям инфраструктуры
|
|
|
|
Анализируемые данные
|
|
|
| Подробнее | Подробнее |
Наши проекты
Задайте вопрос нашим экспертам
Вам также может подойти
Назначение
Реагирование на инцидент кибербезопасности с детальным исследованием всей IT‑инфраструктуры
Преимущества
Подключение к нашему SOC
Ведем мониторинг событий кибербезопасности на протяжении всего проекта, чтобы избежать повторения атаки
Исследование всей инфраструктуры
Проверяем не отдельные хосты, а всю инфраструктуру или ее существенную часть. BI.ZONE EDR автоматизирует сбор и анализ данных
Выявление мисконфигураций
Находим небезопасные настройки, которые могут привести к взлому в будущем
Подробный отчет
Даем развернутые рекомендации по усилению мер защиты вашей инфраструктуры
Этапы работ
-
Сбор актуальных и ретроспективных данных внутри инфраструктуры и во внешних источниках
-
Анализ данных — автоматический (TI, MDR) и ручной (threat hunting), оценка критичности инцидентов
-
Расследование обнаруженных инцидентов
-
Отчет с оценкой критичности инцидентов, их детальным описанием и рекомендациями по кибербезопасности
Схема сбора и анализа данных
Задайте вопрос нашим экспертам
Назначение
Реагирование на инцидент кибербезопасности с помощью ручного сбора и анализа данных с нескольких хостов
Этапы работы
-
Идентификация угрозы
Опрашиваем ваших специалистов, на основе результатов собираем данные для квалификации угрозы
-
Локализация и нейтрализация угрозы
Выявляем скомпрометированные устройства, делаем резервные копии, устраняем угрозу и восстанавливаем системы
-
Расследование инцидента
Выясняем, как злоумышленник проник в инфраструктуру, как он действовал и какую информацию искал
-
Подготовка отчета
Подводим итоги идентификации и нейтрализации угрозы. Подробно описываем причины и последствия инцидента, а также даем рекомендации, как избежать его повторения в будущем
Задайте вопрос нашим экспертам
Различия
| Incident Response ad hoc |
Incident Response Retainer |
|
|---|---|---|
|
Время начала работ с момента обращения
|
В порядке очереди
|
До 2 часов
|
|
Формат оплаты
|
По факту
|
Предоплата минимум за 15 дней работы
|
|
Формат соглашения
|
Можем подписать рамочное соглашение
|
Заключаем договор на год
|
|
Цена одного дня работы
|
Полная
|
Ниже на 30%
|
Особенности варианта Incident Response ad hoc
Легко обосновать покупку
Стоимость услуги в этом формате не нужно заранее включать в годовой бюджет, так как вы оплачиваете работу после наступления инцидента, по факту
Помощь в непредвиденной ситуации
Эксперты BI.ZONE изучат атакованную инфраструктуру и помогут нейтрализовать инцидент, даже если вы не были готовы к кибератаке
Особенности варианта Incident Response Retainer
Поддержка 24/7/365
В течение года эксперты BI.ZONE проконсультируют вас по любым вопросам и отреагируют на инциденты в первые 2 часа с момента обращения
Разумное распределение средств
Проактивный подход позволяет нашим специалистам быстрее реагировать на инциденты, что экономит ваши время и деньги. Когда период пользования подпиской истечет, вы сможете потратить половину оставшейся суммы на другие наши услуги
Уменьшение рисков
Проактивный подход сужает окно возможностей для злоумышленников во время атаки, что сокращает потенциальный ущерб от нее
Как потратить оставшиеся часы, если инцидента не произошло
Киберразведка
- Построение актуального ландшафта угроз для организации (информацию о техниках атакующих предоставим в формате MITRE ATT&CK)
- Сбор сведений об угрозах по вашим критериям
- Идентификация угроз на основе ваших данных
- Анализ вредоносных и потенциально вредоносных файлов
- Обучающие программы для практики в области киберразведки
Мониторинг киберугроз
- Проверка покрытия актуальных для компании техник и процедур злоумышленников на основе MITRE ATT&CK
- Консультации в области разработки детектирующей логики и правил корреляции
- Консультации по формированию гипотез для проактивного поиска киберугроз
- Проактивный поиск угроз в вашей инфраструктуре с использованием имеющихся СЗИ
- Обучающие программы для практики threat detection и threat hunting
Реагирование на инциденты
- Консультации по расследованию инцидентов
- Анализ отчетов о расследовании инцидентов
- Консультации о сборе, обработке и анализе данных
- Обучающие программы для практики в области реагирования на инциденты
Задайте вопрос нашим экспертам
Видео
Распаковка услуги BI.ZONE DFIR
Ф. Скворцов, руководитель отдела реагирования на киберугрозы | AM Live
#интервью #продукты
Распаковка услуги BI.ZONE DFIR
Руководитель отдела реагирования на киберугрозы Фёдор Скворцов ответил на вопросы AM Live о реагировании на инциденты. Из интервью вы узнаете, в каких случаях компаниям стоит обращаться за помощью, почему важно своевременно выявлять угрозы и каковы планы развития услуги
И поэтому все так произошло
А. Степанов, ведущий специалист по компьютерной криминалистике
#мероприятия
И поэтому все так произошло
Ведущий специалист по компьютерной криминалистике Антон Степанов на PHDays 2024 поделился опытом реагирования на инциденты. Он рассказал:
- какие ошибки допускают атакующие
- что приводит к успешной компрометации
- каким образом злоумышленников можно обнаружить заранее
- как путем незначительных усилий осложнить жизнь киберпреступникам
- что сделать, чтобы избежать типовых ошибок со стороны подразделений IT и кибербезопасности
Особенности атак на Linux-инфраструктуры
Запись вебинара от 29 июня 2023 г.
#вебинар
Особенности атак на Linux-инфраструктуры
На вебинаре Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, рассказал о специфике защиты линуксовых систем и о группировках, атаковавших их. Спикер подробно разобрал техники и тактики преступников, а также дал рекомендации по реагированию на подобные инциденты
Запись вебинара от 29 июня 2023 г.
Об особенностях расследования и нейтрализации киберинцидентов
М. Прохоренко, руководитель группы реагирования | AM Live #мероприятия#интервью#продукты
Об особенностях расследования и нейтрализации киберинцидентов
М. Прохоренко, руководитель группы реагирования | AM Live
Как эффективно противодействовать кибератакам
Запись вебинара от 25 ноября 2021 г. #вебинар
Как эффективно противодействовать кибератакам
Запись вебинара от 25 ноября 2021 г.
Произошел инцидент безопасности — что делать пострадавшей компании?
Конкретные начальные действия даже в первые часы во многом определяются характером атаки и особенностями IT‑инфраструктуры. Однако в качестве общей и универсальной рекомендации мы можем посоветовать компаниям следующие меры:
- определить круг подверженных атаке систем и решений, а также затронутых файлов;
- изолировать атакованные активы от «здоровой» части инфраструктуры;
- по возможности собрать релевантные журналы, образцы вредоносных программ и т. д.
Стоит отметить, что корректно выполнить даже такие базовые процедуры способны только квалифицированные специалисты. Первоначальные ошибки могут привести к потере или повреждению ключевых данных. Мы советуем компаниям здраво оценивать свои силы и не бросать на реагирование инженера поддержки, если он обычно настраивает коллегам интернет‑соединение и заводит им учетные записи.
Если вы понимаете, что на первичное реагирование не хватит дня или с ним не справятся штатные сотрудники, — это верный признак того, что стоит сразу обратиться к экспертам по компьютерной криминалистике.
Разве нельзя решить проблему, просто зачистив IT‑инфраструктуру?
К сожалению, не все так просто.
Экстренное отключение рабочих станций и серверов, форматирование накопителей, блокирование подозрительных IP‑адресов, удаление скомпрометированных учетных записей и другие радикальные меры могут казаться эффективными из‑за своего размаха. На деле же они бесполезны практически во всех случаях, поскольку выполняются вслепую и не закрывают конкретных лазеек в корпоративной инфраструктуре, которыми воспользовался злоумышленник.
Эффективное реагирование на атаку возможно только при строгой оценке атаки и эксплуатируемых брешей в безопасности. Такая оценка, в свою очередь, требует изоляции атакованных систем, сбора данных с них и дальнейшего анализа.
Более того, неаккуратные действия вслепую могут привести к потере важных журналов, файлов, строк в служебных таблицах и других данных, которые позволяют наиболее полно восстановить картину инцидента.
Если компания среагировала на атаку, зачем ее расследовать?
Любой инцидент информационной безопасности (ИБ) необходимо исследовать, поскольку успешная атака очень редко оказывается результатом одной ошибки или уязвимости. В большинстве случаев атаки сигнализируют о целом комплексе проблем с безопасностью, которые накопились в компании. Расследование помогает выявить эти проблемы, чтобы не допустить повторения атаки и повысить уровень защищенности.
Допустим, злоумышленники воспользовались уязвимостью в одном из браузеров, чтобы установить на компьютер сотрудника компании бэкдор и с помощью последнего выгрузить конфиденциальные данные. Если атакованная компания ограничится обновлением браузера и удалением бэкдора, то она рискует упустить целый ряд потенциальных недочетов в организации своей безопасности.
Описанный инцидент мог произойти из‑за того, что работник компании по незнанию зашел на вредоносный сайт или открыл фишинговое письмо. Или на его компьютере стояла уязвимая версия браузера из‑за проблем со своевременным обновлением ПО. Или установленный бэкдор прошел мимо систем мониторинга IT‑инфраструктуры, потому что они неверно настроены или вовсе отсутствуют.
Исследование атаки вскрывает такие факторы и позволяет понять, на что руководителю компании стоит обратить внимание.
Может ли предприятие расследовать ИБ‑инцидент своими силами?
Универсального ответа нет — мы рекомендуем объективно оценивать каждый случай по двум критериям.
- Навыки. Какие знания потребуются от команды расследования и есть ли они у штатных специалистов? Не стоит пытаться расследовать инцидент, если в ИБ‑подразделении нет специалиста по обратной разработке (реверс-инжиниринг). В случаях, когда злоумышленник использовал вредоносную программу (например, вирус), есть риск упустить важную информацию о действиях и целях атакующего.
- Ресурсы. Сколько человеко-часов понадобится для анализа атаки? Сильно ли ослабит систему безопасности переброс специалистов на эту задачу? Не стоит пытаться самостоятельно расследовать атаку, если это потребует снять всех людей с мониторинга: есть риск подвергнуться еще более деструктивной атаке, не выяснив ничего о текущей.
В большинстве случаев привлечение специалистов извне необходимо хотя бы на одном из этапов расследования инцидентов. Внешние эксперты могут восполнить недостаток штатных специалистов или предоставить свои уникальные навыки. Стоит при этом помнить, что эффективность работы напрямую зависит от объема различных технических данных, к которым вы предоставите доступ в ваших системах.
Можно ли найти злоумышленника и привлечь его к ответственности?
Расследование выявляет техники, тактики и процедуры, которые уникальны для каждого злоумышленника. Зачастую по ним можно определить преступную группировку, стоящую за атакой, а затем предположить ее мотивы.
Стоит при этом понимать, что точное определение личности атакующего не входит в задачу специалиста по компьютерной криминалистике. Расследование ИБ‑инцидента — это техническое мероприятие, которое помогает восстановить наиболее полную картину атаки и определить, почему она в принципе стала возможна.
Поимка любых преступников, в том числе и в сфере цифровой безопасности, — задача правоохранителей. Поэтому, если компания считает необходимым добиться наказания злоумышленников, ей нужно обратиться в полицию.