Реагирование на инциденты
Назначение
Эксперты BI.ZONE обеспечат оперативное реагирование на инцидент и проведут тщательное расследование, чтобы свести финансовые и репутационные потери к минимуму.
Доверьте экспертам нейтрализацию угрозы и восстановление штатной работы систем, чтобы сократить потенциальный ущерб
Выясните, как атакующие попали в инфраструктуру, и используйте доказательную базу при обращении в правоохранительные органы
Определите уязвимые места в инфраструктуре и получите рекомендации по их устранению
С нашей поддержкой разработайте комплекс мер по реагированию, чтобы не допустить повторных взломов компании
Убедитесь, что вы опираетесь на верные данные о вредоносном ПО и приняли достаточно мер по восстановлению работоспособности процессов
Мы подходим к каждому инциденту индивидуально и оказываем поддержку на любом этапе
-
Идентификация угрозы
Опрашиваем ваших специалистов, на основе результатов собираем данные для квалификации угрозы
- Сбор первичных данных
- Квалификация угрозы
-
Локализация и нейтрализация угрозы
Выявляем скомпрометированные устройства, делаем резервные копии, устраняем угрозу и восстанавливаем системы
- Сбор технических сведений
- Выявление скомпрометированных устройств и данных
- Формирование плана реагирования
- Нейтрализация угрозы
- Восстановление систем
-
Расследование инцидента
Выясняем, как злоумышленник проник в инфраструктуру, как он действовал и какую информацию искал
- Комплексное исследование собранных данных
- Определение источника компрометации системы
- Поиск инструментов, использованных злоумышленником
- Анализ вредоносного ПО
- Восстановление удаленных и поврежденных данных
-
Подготовка отчета
Подводим итоги идентификации и нейтрализации угрозы. Подробно описываем причины и последствия инцидента, а также даем рекомендации, как избежать его повторения в будущем
- Разработка рекомендаций по модернизации системы кибербезопасности
- Описание проведенного реагирования
Наша команда
Задайте вопрос нашим экспертам
Вам также может подойти
- Сбор первичных данных
- Классификация угрозы
- Выявление скомпрометированных устройств и данных
- Сбор технических данных
- Формирование плана реагирования
- Нейтрализация угрозы
- Восстановление систем
- Комплексное исследование собранных данных
- Определение источника компрометации системы
- Поиск инструментов, использованных злоумышленником
- Анализ вредоносного ПО
- Поиск скомпрометированных данных
- Восстановление удаленных и поврежденных данных
- Разработка рекомендаций по модернизации системы кибербезопасности
- Описание проведенного реагирования
Задайте вопрос нашим экспертам
Форматы услуги
Получаете разовую помощь в нейтрализации и расследовании киберинцидента
Готовитесь с помощью наших экспертов к кибератакам заранее и в течение года получаете гарантированную помощь в противодействии инцидентам
| Incident Response ad hoc |
Incident Response Retainer |
|
|---|---|---|
|
Время начала работ с момента обращения
|
В порядке очереди
|
До 2 часов
|
|
Формат оплаты
|
По факту
|
Предоплата минимум за 15 дней работы
|
|
Формат соглашения
|
Можем подписать рамочное соглашение
|
Заключаем договор на год
|
|
Цена одного дня работы
|
Полная
|
Ниже на 30%
|
Особенности формата Incident Response ad hoc
Стоимость услуги в этом формате не нужно заранее включать в годовой бюджет, так как вы оплачиваете работу после наступления инцидента, по факту
Эксперты BI.ZONE изучат атакованную инфраструктуру и помогут нейтрализовать инцидент, даже если вы не были готовы к кибератаке
В течение года эксперты BI.ZONE проконсультируют вас по любым вопросам и отреагируют на инциденты в первые 2 часа с момента обращения
Проактивный подход позволяет нашим специалистам быстрее реагировать на инциденты, что экономит ваши время и деньги. Когда период пользования подпиской истечет, вы сможете потратить половину оставшейся суммы на другие наши услуги
Проактивный подход сужает окно возможностей для злоумышленников во время атаки, что сокращает потенциальный ущерб от нее
- Построение актуального ландшафта угроз для организации (информацию о техниках атакующих предоставим в формате MITRE ATT&CK)
- Сбор сведений об угрозах по вашим критериям
- Идентификация угроз на основе ваших данных
- Анализ вредоносных и потенциально вредоносных файлов
- Обучающие программы для практики в области киберразведки
- Проверка покрытия актуальных для компании техник и процедур злоумышленников на основе MITRE ATT&CK
- Консультации в области разработки детектирующей логики и правил корреляции
- Консультации по формированию гипотез для проактивного поиска киберугроз
- Проактивный поиск угроз в вашей инфраструктуре с использованием имеющихся СЗИ
- Обучающие программы для практики threat detection и threat hunting
- Консультации по расследованию инцидентов
- Анализ отчетов о расследовании инцидентов
- Консультации о сборе, обработке и анализе данных
- Обучающие программы для практики в области реагирования на инциденты
Задайте вопрос нашим экспертам
Особенности атак на Linux-инфраструктуры
Запись вебинара от 29 июня 2023 г.
#вебинар
На вебинаре Михаил Прохоренко, руководитель управления по борьбе с киберугрозами, рассказал о специфике защиты линуксовых систем и о группировках, атаковавших их. Спикер подробно разобрал техники и тактики преступников, а также дал рекомендации по реагированию на подобные инциденты
Об особенностях расследования и нейтрализации киберинцидентов
М. Прохоренко, руководитель группы реагирования | AM Live #мероприятия#интервью#продукты
М. Прохоренко, руководитель группы реагирования | AM Live
Как эффективно противодействовать кибератакам
Запись вебинара от 25 ноября 2021 г. #вебинар
Запись вебинара от 25 ноября 2021 г.
Документы
| Исследование вредоносного ПО RTM | Скачать |
Конкретные начальные действия даже в первые часы во многом определяются характером атаки и особенностями IT‑инфраструктуры. Однако в качестве общей и универсальной рекомендации мы можем посоветовать компаниям следующие меры:
- определить круг подверженных атаке систем и решений, а также затронутых файлов;
- изолировать атакованные активы от «здоровой» части инфраструктуры;
- по возможности собрать релевантные журналы, образцы вредоносных программ и т. д.
Стоит отметить, что корректно выполнить даже такие базовые процедуры способны только квалифицированные специалисты. Первоначальные ошибки могут привести к потере или повреждению ключевых данных. Мы советуем компаниям здраво оценивать свои силы и не бросать на реагирование инженера поддержки, если он обычно настраивает коллегам интернет‑соединение и заводит им учетные записи.
Если вы понимаете, что на первичное реагирование не хватит дня или с ним не справятся штатные сотрудники, — это верный признак того, что стоит сразу обратиться к экспертам по компьютерной криминалистике.
К сожалению, не все так просто.
Экстренное отключение рабочих станций и серверов, форматирование накопителей, блокирование подозрительных IP‑адресов, удаление скомпрометированных учетных записей и другие радикальные меры могут казаться эффективными из‑за своего размаха. На деле же они бесполезны практически во всех случаях, поскольку выполняются вслепую и не закрывают конкретных лазеек в корпоративной инфраструктуре, которыми воспользовался злоумышленник.
Эффективное реагирование на атаку возможно только при строгой оценке атаки и эксплуатируемых брешей в безопасности. Такая оценка, в свою очередь, требует изоляции атакованных систем, сбора данных с них и дальнейшего анализа.
Более того, неаккуратные действия вслепую могут привести к потере важных журналов, файлов, строк в служебных таблицах и других данных, которые позволяют наиболее полно восстановить картину инцидента.
Любой инцидент информационной безопасности (ИБ) необходимо исследовать, поскольку успешная атака очень редко оказывается результатом одной ошибки или уязвимости. В большинстве случаев атаки сигнализируют о целом комплексе проблем с безопасностью, которые накопились в компании. Расследование помогает выявить эти проблемы, чтобы не допустить повторения атаки и повысить уровень защищенности.
Допустим, злоумышленники воспользовались уязвимостью в одном из браузеров, чтобы установить на компьютер сотрудника компании бэкдор и с помощью последнего выгрузить конфиденциальные данные. Если атакованная компания ограничится обновлением браузера и удалением бэкдора, то она рискует упустить целый ряд потенциальных недочетов в организации своей безопасности.
Описанный инцидент мог произойти из‑за того, что работник компании по незнанию зашел на вредоносный сайт или открыл фишинговое письмо. Или на его компьютере стояла уязвимая версия браузера из‑за проблем со своевременным обновлением ПО. Или установленный бэкдор прошел мимо систем мониторинга IT‑инфраструктуры, потому что они неверно настроены или вовсе отсутствуют.
Исследование атаки вскрывает такие факторы и позволяет понять, на что руководителю компании стоит обратить внимание.
Универсального ответа нет — мы рекомендуем объективно оценивать каждый случай по двум критериям.
- Навыки. Какие знания потребуются от команды расследования и есть ли они у штатных специалистов? Не стоит пытаться расследовать инцидент, если в ИБ‑подразделении нет специалиста по обратной разработке (реверс-инжиниринг). В случаях, когда злоумышленник использовал вредоносную программу (например, вирус), есть риск упустить важную информацию о действиях и целях атакующего.
- Ресурсы. Сколько человеко-часов понадобится для анализа атаки? Сильно ли ослабит систему безопасности переброс специалистов на эту задачу? Не стоит пытаться самостоятельно расследовать атаку, если это потребует снять всех людей с мониторинга: есть риск подвергнуться еще более деструктивной атаке, не выяснив ничего о текущей.
В большинстве случаев привлечение специалистов извне необходимо хотя бы на одном из этапов расследования инцидентов. Внешние эксперты могут восполнить недостаток штатных специалистов или предоставить свои уникальные навыки. Стоит при этом помнить, что эффективность работы напрямую зависит от объема различных технических данных, к которым вы предоставите доступ в ваших системах.
Расследование выявляет техники, тактики и процедуры, которые уникальны для каждого злоумышленника. Зачастую по ним можно определить преступную группировку, стоящую за атакой, а затем предположить ее мотивы.
Стоит при этом понимать, что точное определение личности атакующего не входит в задачу специалиста по компьютерной криминалистике. Расследование ИБ‑инцидента — это техническое мероприятие, которое помогает восстановить наиболее полную картину атаки и определить, почему она в принципе стала возможна.
Поимка любых преступников, в том числе и в сфере цифровой безопасности, — задача правоохранителей. Поэтому, если компания считает необходимым добиться наказания злоумышленников, ей нужно обратиться в полицию.