ОСТАНОВКА РАЗВИТИЯ АТАКИ ДО НАСТУПЛЕНИЯ ПОСЛЕДСТВИЙ
Что вы получаете от услуги Compromise Assessment
Когда проводить работы по выявлению следов компрометации
Обнаружены признаки компрометации
- Множественные срабатывания систем защиты информации
- Потеря доступа к информационным ресурсам
- Появление неучтенных административных записей
- Появление неизвестных процессов, аномалии в сетевом трафике
- Отклонения в профилях поведения пользователей и технических средств
Список не является исчерпывающим
Снижение рисков компрометации
- Инфраструктуры, для которой нет уверенности в полном покрытии средствами мониторинга ИБ
- При M&A-сделках (проверка поглощаемой инфраструктуры)
Кейсы расследований инцидентов
ОРГАН ГОСУДАРСТВЕННОЙ
ВЛАСТИ
Цель атаки: шпионаж
Этапы расследования
- Начали работы по выявлению следов компрометации (Compromise Assessment) после обнаружения признаков взлома в процессе комплексного анализа защищенности инфраструктуры
- Подтвердили компрометацию по итогам глубокого исследования инфраструктуры клиента
- Изучили обнаруженное ВПО и контекст всей атаки, ее атрибуцию
- Провели работы по локализации инцидента и выдворению атакующих
- Разработали рекомендации по недопущению повторения инцидента
ТЕЛЕКОМ-КОМПАНИЯ
Целенаправленная атака проправительственной группировки
Этапы расследования
- Начали расследование в конце 2023 года
- Выявили эксплуатацию известной уязвимости десериализации Viewstate. При этом сам факт ее эксплуатации крайне непросто обнаружить, а методика реагирования не была подробно описана в профильных сообществах
- Провели работы по локализации инцидента и выдворению атакующих
- Отразили многочисленные попытки атакующих вернуться в инфраструктуру организации
- Разработали рекомендации по недопущению повторения инцидента
ИТ-КОМПАНИЯ
Цель атаки: шпионаж и уничтожение данных
Этапы расследования
- Начали расследование атаки на одного из ИТ-подрядчиков российских госорганов
- Обнаружили ПО с открытым исходным кодом Reverse SSH, используемое атакующими на этапе постэксплуатации
- При анализе образца ПО обнаружили перечень серверов управления, которые были развернуты на взломанных контроллерах в составе SCADA-систем для управления лифтовым оборудованием
- Провели работы по локализации инцидента и выдворению атакующих
- Разработали рекомендации по недопущению повторения инцидента
Ключевые преимущества
Высокий уровень экспертизы и практический опыт
- Более 200 расследований инцидентов различной сложности, включая наиболее продвинутые атаки от группировок уровня иностранных спецслужб
- Более 10 лет практического опыта отражения атак и изучения тактик киберпреступников любого уровня, в том числе 60+ профессиональных группировок
Всегда актуальные знания об угрозах
- Доступ к крупнейшей в РФ базе знаний о киберугрозах — Solar 4RAYS
- Включение дополнительного логирования событий и/или подключение инфраструктуры к Solar JSOC
- Подготовка к отсечению доступа злоумышленника к вашей ИТ-инфраструктуре и каналам управления ВПО
Все необходимые лицензии и сертификаты
Проверенные технологии, 10+ лет опыта работы на рынке, сотни клиентов
ПОДОЗРЕНИЕ НА ИНЦИДЕНТ
Узнать, как мы поможем обнаружить скрытую атаку
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.