Предыдущая версия сайта
+7 (499) 755-07-70 Запросить консультацию

Экстренное реагирование на инциденты

Помощь от экспертов Solar JSOC в отражении атак любой сложности

Для получения СРОЧНОЙ помощи при атаке заполните заявку

Эксперты центра противодействия кибератакам Solar JSOC свяжутся с вами в течение 30 минут

Когда привлекать команду экстренного реагирования

При подозрении на взлом или во время атаки:

  • Необоснованное увеличение потребления аппаратных ресурсов

  • Появление неизвестных процессов, аномалии в сетевом трафике

  • Отклонения в профилях поведения пользователей и технических средств

  • Множественные срабатывания систем защиты информации

  • Потеря доступа к информационным ресурсам

  • Появление неучтенных административных записей

При инцидентах, требующих экстренного реагирования:

  • Заражения ВПО*

  • Целенаправленные атаки

  • Хищение данных

  • Компрометация учетных данных

  • Компрометация инфраструктурных сервисов (СУБД, почта, домен)

*Мы не можем гарантировать восстановление данных после вирусов-шифровальщиков

Решаемые задачи и результаты

  • Локализация инцидента

    Выявляем скомпрометированные ресурсы и каналы управления ими

    Результат: затруднение или даже полное предотвращение распространения злоумышленника в инфраструктуре и совершения им негативных действий

  • Подготовка к восстановлению инфраструктуры

    Оперативно осуществляем мероприятия по сбору необходимых для проведения расследования данных, курируем действия ваших специалистов

    Результат: снятие ряда ограничений на работу с компрометированными ресурсами, которое позволит вам приступить к возвращению бизнес-процессов компании в привычное русло*

  • Предотвращение повторения инцидента

    Изучаем полученные данные, определяем тактики, техники и процедуры, использованные злоумышленником, выявляем слабые места в инфраструктуре

    Результат: отчет с рекомендациями по недопущению повторных инцидентов

*Восстановление хранимой информации после ее повреждения криптолокерами не гарантируется.

Наша экспертиза
Работы по экстренному реагированию выполняет команда центра изучения киберугроз и расследования инцидентов Solar JSOC CERT.
В 2021 году эксперты выявили более 300 атак профессиональных злоумышленников в 250+ компаниях из различных отраслей, включая государственные структуры. В 2022 году было проведено более 25 расследований, в том числе против проправительственных группировок.

Порядок проведения работ

Этап 1. Первичная коммуникация и оценка ситуации

Сбор данных для первичной оценки степени компрометации инфраструктуры и компетенций злоумышленника

Этап 2. Разработка плана действий
  • Уточнение области атаки и профиля злоумышленника
  • Включение дополнительного логирования событий и/или подключение инфраструктуры к Solar JSOC
  • Подготовка к отсечению доступа злоумышленника к вашей инфраструктуре и каналам управления ВПО
Этап 3. Устранение первичных последствий атаки
  • Изоляция скомпрометированных ресурсов
  • Сбор данных – снятие дампов памяти, копирование содержимого носителей, выгрузка логов – для дальнейшего анализа и уточнения последствий атаки
Этап 4. Восстановление бизнес-процессов

Координирование активностей по устранению последствий атаки и возобновлению штатного режима работы компании

Этап 5. Разработка отчета с рекомендациями
  • Описание хронологии проведения атаки, предпринятых по ее локализации и нейтрализации последствий шагов
  • Предоставление рекомендаций по недопущению повторения сценария кибератаки
Часто задаваемые вопросы

Зачем привлекать сторонних экспертов на реагирование, если мы просто можем перезалить операционную систему?

Переустановка операционных систем не только не позволит определить вектор атаки, использованный злоумышленником, и гарантировать его устранение из инфраструктуры, но и затруднит проведение дальнейшего расследования.

Анализ данных, хранимых на подвергшихся атаке информационных ресурсах, необходим для установления тактик, техник и процедур нарушителя и предотвращения повторения инцидента.

Кто входит в команду экстренного реагирования Solar JSOC CERT?

Собственная команда экспертов в следующих направлениях:

  • форензеры (инженеры расследования), проводящие расследование и в случае обнаружения нового ВПО передающие его на исследование;
  • реверс-инженеры (вирусные аналитики), изучающие выявленный в ходе расследования вредоносный код;
  • аналитики, изучающие данные, полученные в ходе расследования, и текущие настройки систем мониторинга с целью разработки необходимых правил выявления и реагирования.

В чем преимущества команды реагирования Solar JSOC CERT перед другими компаниями?

В 2021 году наши эксперты выявили более 300 атак профессиональных злоумышленников в 250+ компаниях из различных отраслей, включая государственные структуры. В 2022 году было проведено более 25 расследований, в том числе против проправительственных группировок. Привлечение к расследованию аналитиков и возможность подключения вашей инфраструктуры к системам мониторинга Solar JSOC позволяет обогатить собираемую об инциденте информацию данными в реальном времени, не ограничиваясь артефактами, оставшимися в логах систем, оперативной памяти и на носителях информации.

В чем отличия экстренного реагирования на инциденты от расследования и реагирования на инциденты?

При экстренном реагировании на инциденты мы готовы оперативно взять ваш запрос в работу в условиях отсутствия договорных отношений. Наши специалисты в сжатые сроки предоставят основные рекомендации и при необходимости подключатся к вашей инфраструктуре удаленно или очно, оказывая полный набор услуг, предоставляемых нами при расследовании и реагировании на инциденты у существующих клиентов.

Могу ли я привлекать экспертов Solar JSOC CERT при инциденте на арендованной инфраструктуре (хостинги, облака)?

Наши специалисты могут помочь в реагировании и расследовании инцидентов только на вашей собственной инфраструктуре.

Может ли команда Solar JSOC CERT расшифровать данные после атаки вируса-шифровальщика?

Специалисты Solar JSOC CERT приложат все усилия к скорейшему восстановлению работоспособности инфраструктуры вашей компании и повышению ее защищенности от подобных атак, но не могут гарантировать устранение всех последствий инцидента и восстановления данных, подвергшихся воздействию вирусов-шифровальщиков.

Могу ли я с отчетом Solar JSOC CERT обратиться в правоохранительные органы?

Отчет, предоставляемый командой Solar JSOC CERT, является техническим документом, направленным на доведение до заинтересованных лиц вашей компании деталей произошедшего инцидента и рекомендаций по недопущению его повторения. Оказываемые услуги не являются криминалистической экспертизой, и их результат не имеет юридической значимости.

Может ли команда Solar JSOC CERT вычислить конкретного человека, стоящего за атакой, по IP?

Нет, для подобного раскрытия конкретного лица необходимо взаимодействие с правоохранительными органами РФ.

Может ли команда Solar JSOC CERT помочь с отражением DDoS-атак?

Подключение к услуге защиты трафика в экстренном режиме технически возможно в очень редких случаях. Данная услуга не входит в состав предложения по экстренному реагированию.

Преимущества Solar JSOC
Опыт крупнейшего коммерческого SOC в России
в противодействии киберугрозам любого уровня сложности
Собственная исследовательская лаборатория
Solar JSOC CERT и ежедневно актуализируемая база знаний о новых атаках
Опыт реагирования на 300+ кибератак
в 250+ компаниях из разных отраслей, в том числе в органах государственной власти
Все необходимые лицензии и сертификаты
ФСТЭК России, ФСБ России, PCI DSS
Другие решения Solar JSOC
по реагированию на инциденты
Расследование и реагирование на инциденты
Локализация взлома, определение вектора атаки и инструментов злоумышленника
Подробнее
Управление процессами реагирования на инциденты (IRP)
Управление и автоматизация процессов реагирования
Подробнее
Наши клиенты

Более 250 российских организаций доверяют свою кибербезопасность Solar JSOC

Дмитрий Якоб

Директор по информационным технологиям ТМК

Всего за полтора месяца мы запустили на базе Solar JSOC и наших IT-мощностей полноценный центр мониторинга и реагирования на кибератаки. Он уже следит за безопасностью IT-инфраструктуры трех крупнейших заводов, затем система будет охватывать и другие площадки компании. Мы также изучаем возможность масштабирования проекта, чтобы обеспечить кибербезопасность оборудования, подключенного к автоматизированной системе управления технологическим процессом (АСУ ТП).

Станислав Павлунин

Вице-президент по безопасности Тинькофф Банка

Для финансовой компании, которая обслуживает клиентов в режиме 24/7, информационная безопасность – один из ключевых приоритетов. Круглосуточный мониторинг инцидентов и реагирование на них – это критичные процессы для онлайн-банкинга, а значит, и для бизнеса. Поэтому мы приняли решение о сотрудничестве с Solar JSOC по данному направлению.

Александр Падерин

Начальник управления безопасности информационных систем «Уральского банка реконструкции и развития»

Построение собственного SOC сопряжено со значительными капитальными вложениями, поиском и набором высококвалифицированного персонала, способного обеспечить качественный и круглосуточный мониторинг инцидентов. По итогам оценки таких затрат мы пришли к выводу, что наиболее оптимальным вариантом для усовершенствования существующего процесса управления инцидентами является аутсорсинговая модель сотрудничества.










Аналитика
Эксперты Solar JSOC регулярно публикуют аналитические отчеты и исследования в области информационной безопасности
Посмотреть все материалы

Сообщить об инциденте

Для получения СРОЧНОЙ помощи при атаке заполните заявку. Эксперты центра противодействия кибератакам Solar JSOC работают 24/7

Тип инцидента
Подозрение на компрометацию
Утечка информации
Взлом публичных сервисов
Шифрование данных
Другое

Команда Solar JSOC готова экстренно помочь с реагированием на инцидент только в вашей собственной инфраструктуре.

Услуги реагирования на инцидент в арендуемой инфраструктуре на текущий момент не предоставляются.

Команда Solar JSOC готова экстренно помочь с реагированием на инцидент только в вашей собственной инфраструктуре.

Услуги реагирования на инцидент в арендуемой инфраструктуре на текущий момент не предоставляются.

Команда Solar JSOC готова экстренно помочь с реагированием на инцидент только в вашей собственной инфраструктуре.

Услуги реагирования на инцидент в арендуемой инфраструктуре на текущий момент не предоставляются.

Команда Solar JSOC поможет выявить и устранить вектор заражения, но не может гарантировать восстановление зашифрованных данных.

Последние новости Solar JSOC

19.05.2022
Solar JSOC CERT советует срочно обновить VipNet Client от «ИнфоТеКС» – обнаружены недостатки в безопасности
Подробнее
23.12.2021
НКЦКИ отметил вклад «Ростелеком-Солар» в деятельность ГосСОПКА
Подробнее
07.12.2021
«Ростелеком-Солар»: Более 90% атак высокопрофессиональных группировок направлены на объекты критической инфраструктуры
Подробнее
Свежие новости о наших продуктах у вас в почте
Наверх