Эксперты центра противодействия кибератакам Solar JSOC свяжутся с вами в течение 30 минут
Когда привлекать команду экстренного реагирования
При подозрении на взлом или во время атаки:
-
Необоснованное увеличение потребления аппаратных ресурсов
-
Появление неизвестных процессов, аномалии в сетевом трафике
-
Отклонения в профилях поведения пользователей и технических средств
-
Множественные срабатывания систем защиты информации
-
Потеря доступа к информационным ресурсам
-
Появление неучтенных административных записей
Решаемые задачи и результаты
-
Локализация инцидента
Выявляем скомпрометированные ресурсы и каналы управления ими
Результат: затруднение или даже полное предотвращение распространения злоумышленника в инфраструктуре и совершения им негативных действий
-
Подготовка к восстановлению инфраструктуры
Оперативно осуществляем мероприятия по сбору необходимых для проведения расследования данных, курируем действия ваших специалистов
Результат: снятие ряда ограничений на работу с компрометированными ресурсами, которое позволит вам приступить к возвращению бизнес-процессов компании в привычное русло*
-
Предотвращение повторения инцидента
Изучаем полученные данные, определяем тактики, техники и процедуры, использованные злоумышленником, выявляем слабые места в инфраструктуре
Результат: отчет с рекомендациями по недопущению повторных инцидентов
*Восстановление хранимой информации после ее повреждения криптолокерами не гарантируется.
Порядок проведения работ
Сбор данных для первичной оценки степени компрометации инфраструктуры и компетенций злоумышленника
-
Уточнение области атаки и профиля злоумышленника
-
Включение дополнительного логирования событий и/или подключение инфраструктуры к Solar JSOC
-
Подготовка к отсечению доступа злоумышленника к вашей инфраструктуре и каналам управления ВПО
-
Изоляция скомпрометированных ресурсов
-
Сбор данных – снятие дампов памяти, копирование содержимого носителей, выгрузка логов – для дальнейшего анализа и уточнения последствий атаки
Координирование активностей по устранению последствий атаки и возобновлению штатного режима работы компании
-
Описание хронологии проведения атаки, предпринятых по ее локализации и нейтрализации последствий шагов
-
Предоставление рекомендаций по недопущению повторения сценария кибератаки
Зачем привлекать сторонних экспертов на реагирование, если мы просто можем перезалить операционную систему?
Переустановка операционных систем не только не позволит определить вектор атаки, использованный злоумышленником, и гарантировать его устранение из инфраструктуры, но и затруднит проведение дальнейшего расследования.
Анализ данных, хранимых на подвергшихся атаке информационных ресурсах, необходим для установления тактик, техник и процедур нарушителя и предотвращения повторения инцидента.
Кто входит в команду экстренного реагирования Solar 4RAYS?
Собственная команда экспертов в следующих направлениях:
- форензеры (инженеры расследования), проводящие расследование и в случае обнаружения нового ВПО передающие его на исследование;
- реверс-инженеры (вирусные аналитики), изучающие выявленный в ходе расследования вредоносный код;
- аналитики, изучающие данные, полученные в ходе расследования, и текущие настройки систем мониторинга с целью разработки необходимых правил выявления и реагирования.
В чем преимущества команды реагирования Solar 4RAYS перед другими компаниями?
В 2021 году наши эксперты выявили более 300 атак профессиональных злоумышленников в 250+ компаниях из различных отраслей, включая государственные структуры. В 2022 году было проведено более 25 расследований, в том числе против проправительственных группировок. Привлечение к расследованию аналитиков и возможность подключения вашей инфраструктуры к системам мониторинга Solar JSOC позволяет обогатить собираемую об инциденте информацию данными в реальном времени, не ограничиваясь артефактами, оставшимися в логах систем, оперативной памяти и на носителях информации.
В чем отличия экстренного реагирования на инциденты от расследования и реагирования на инциденты?
При экстренном реагировании на инциденты мы готовы оперативно взять ваш запрос в работу в условиях отсутствия договорных отношений. Наши специалисты в сжатые сроки предоставят основные рекомендации и при необходимости подключатся к вашей инфраструктуре удаленно или очно, оказывая полный набор услуг, предоставляемых нами при расследовании и реагировании на инциденты у существующих клиентов.
Могу ли я привлекать экспертов Solar 4RAYS при инциденте на арендованной инфраструктуре (хостинги, облака)?
Наши специалисты могут помочь в реагировании и расследовании инцидентов только на вашей собственной инфраструктуре.
Может ли команда Solar 4RAYS расшифровать данные после атаки вируса-шифровальщика?
Специалисты Solar 4RAYS приложат все усилия к скорейшему восстановлению работоспособности инфраструктуры вашей компании и повышению ее защищенности от подобных атак, но не могут гарантировать устранение всех последствий инцидента и восстановления данных, подвергшихся воздействию вирусов-шифровальщиков.
Могу ли я с отчетом Solar 4RAYS обратиться в правоохранительные органы?
Отчет, предоставляемый командой Solar 4RAYS, является техническим документом, направленным на доведение до заинтересованных лиц вашей компании деталей произошедшего инцидента и рекомендаций по недопущению его повторения. Оказываемые услуги не являются криминалистической экспертизой, и их результат не имеет юридической значимости.
Может ли команда Solar 4RAYS вычислить конкретного человека, стоящего за атакой, по IP?
Нет, для подобного раскрытия конкретного лица необходимо взаимодействие с правоохранительными органами РФ.
Может ли команда Solar 4RAYS помочь с отражением DDoS-атак?
Подключение к услуге защиты трафика в экстренном режиме технически возможно в очень редких случаях. Данная услуга не входит в состав предложения по экстренному реагированию.
по реагированию на инциденты
Более 280 российских организаций доверяют свою кибербезопасность Solar JSOC
Дмитрий Якоб
Директор по информационным технологиям ТМК
Станислав Павлунин
Вице-президент по безопасности Тинькофф Банка
Александр Падерин
Начальник управления безопасности информационных систем «Уральского банка реконструкции и развития»
Сообщить об инциденте
Для получения СРОЧНОЙ помощи при атаке заполните заявку. Эксперты центра противодействия кибератакам Solar JSOC работают 24/7