ПРОТИВОДЕЙСТВИЕ И ПРЕДОТВРАЩЕНИЕ
Что вы получаете от услуги DFIR
Когда привлекать команду расследования и реагирования
Расследование инцидента и отражение атаки
- Множественные срабатывания систем защиты информации
- Потеря доступа к информационным ресурсам
- Появление неучтенных административных записей
- Заражение ВПО*
- Целенаправленные атаки
- Хищение данных
- Компрометация учетных данных
- Компрометация инфраструктурных сервисов (СУБД, почта, домен)
* Мы не можем гарантировать восстановление данных после воздействия вирусов-шифровальщиков
Кейсы расследований инцидентов
ТЕЛЕКОМ-КОМПАНИЯ
Целенаправленная атака проправительственной группировки
Этапы расследования
- Начали расследование в конце 2023 года
- Выявили эксплуатацию известной уязвимости десериализации Viewstate. При этом сам факт ее эксплуатации крайне непросто обнаружить, а методика реагирования не была подробно описана в профильных сообществах
- Провели работы по локализации инцидента и выдворению атакующих
- Отразили многочисленные попытки атакующих вернуться в инфраструктуру организации
- Разработали рекомендации по недопущению повторения инцидента
ОРГАН ГОСУДАРСТВЕННОЙ
ВЛАСТИ
Цель атаки: шпионаж
Этапы расследования
- Начали работы по выявлению следов компрометации (Compromise Assessment) после обнаружения признаков взлома в процессе комплексного анализа защищенности инфраструктуры
- Подтвердили компрометацию по итогам глубокого исследования инфраструктуры клиента
- Изучили обнаруженное ВПО и контекст всей атаки, ее атрибуцию
- Провели работы по локализации инцидента и выдворению атакующих
- Разработали рекомендации по недопущению повторения инцидента
ИТ-КОМПАНИЯ
Цель атаки: шпионаж и уничтожение данных
Этапы расследования
- Начали расследование атаки на одного из ИТ-подрядчиков российских госорганов
- Обнаружили ПО с открытым исходным кодом Reverse SSH, используемое атакующими на этапе постэксплуатации
- При анализе образца ПО обнаружили перечень серверов управления, которые были развернуты на взломанных контроллерах в составе SCADA-систем для управления лифтовым оборудованием
- Провели работы по локализации инцидента и выдворению атакующих
- Разработали рекомендации по недопущению повторения инцидента
Ключевые преимущества
Высокий уровень экспертизы и практический опыт
- Более 200 расследований инцидентов различной сложности, включая наиболее продвинутые атаки от группировок уровня иностранных спецслужб
- Более 10 лет практического опыта отражения атак и изучения тактик киберпреступников любого уровня, в том числе 60+ профессиональных группировок
Всегда актуальные знания об угрозах
- Доступ к крупнейшей в РФ базе знаний киберугроз центра
исследований
Solar
4RAYS
- 200+ млрд событий в сутки регистрируют автоматизированные сенсоры
- 3+ млн алертов в сутки на автоматизированных сенсорах
- 1+ млн действий злоумышленников фиксирует сеть ханипотов
Все необходимые лицензии и сертификаты
Проверенные технологии, 10+ лет опыта работы на рынке, сотни клиентов
Техническое сопровождение на всех этапах работы
- Включение дополнительного логирования событий и/или подключение инфраструктуры к Solar JSOC
- Подготовка к отсечению доступа злоумышленника к вашей инфраструктуре и каналам управления ВПО
ПОДОЗРЕНИЕ НА ИНЦИДЕНТ ИЛИ ИНЦИДЕНТ ПОДТВЕРЖДЕН
Узнать, как мы поможем противостоять атакам
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.