Для малого бизнеса
+7 (499) 673-37-62

Как работает формат подписки на реагирование на инциденты (Retainer)

Весь цикл реагирования, расследования и мер противодействия в одной подписке

КАК ЭТО РАБОТАЕТ

Состав и порядок проведения работ

Забронируйте ресурсы команды расследования Solar 4RAYS для экстренного подключения к реагированию и скорейшего восстановления бизнес‑процессов

01

Выбрать объем подписки и подписать соглашение

  • Объем часов

  • Срок действия

  • Состав работ подписки

  • SLA

02

Погрузить в детали команду реагирования
Solar 4RAYS

Знакомство с командой защиты заказчика и с защищаемой инфраструктурой

03

Потратить часы подписки до конца действия подписки

  • Привлечение к реагированию на инциденты команды Solar 4RAYS

  • Обмен непотраченных часов на дополнительные сервисы и услуги

  • Увеличение часов на период подписки с шагом в 50 час.

04

Продлить подписку (по договоренности)

  • Продление подписки на 1–2 года от 250 час.

  • Перенос остатка часов при продлении подписки на следующий год (до 15% от общего объема)

ВОЗМОЖНОСТИ ПОДПИСКИ

Обмен неиспользованных часов на услуги, сервисы

Выявление следов компрометации (Compromise Assessment), от 10 час.

Обнаружение признаков присутствия злоумышленников в инфраструктуре до наступления последствий.

Вы получите проверку гипотезы о компрометации:

  • В случае подтверждения гипотезы инициируется расследование инцидента ИБ, определение его масштабов и выдворение атакующих из сети, что оформляется отчетом
  • В остальных случаях получаете отчет о проведенном анализе, с отражением общих недостатков в системе защиты и рекомендациями по повышению защищенности

Как часто проводить: на регулярной основе, особенно в тех частях инфраструктуры, которые не покрыты постоянным мониторингом или вновь подключаются к основной ее части.

Оценка готовности к реагированию
(IR Readiness Assessment), от 20 час.

Оценка готовности инфраструктуры и команды ИБ к эффективному реагированию на кибератаки (план реагирования на инциденты, настройки аудита событий безопасности на конечных точках и т. д.).

Что вы получите:

  • Индивидуальный план реагирования на инциденты или рекомендации по его улучшению
  • Рекомендации по повышению уровня защищенности на основе опыта расследования сотен хакерских атак

Как часто проводить: разово при активации подписки.

Информирование о компрометации инфраструктуры в течение года, от 50 час.

Уведомления об обнаружении следов компрометации инфраструктуры заказчика или его подрядчика, сигнализирующих о возможной скрытой атаке.

Что вы получите:

  • Оперативную информацию о возможной атаке
  • Рекомендации по дальнейшим действиям

Как часто проводить: на регулярной основе в течение года.

Разработка детектирующей логики для выявления хостовых (Sigma, Yara) и сетевых аномалий, от 8–40 час.

Написание детектирующей логики и правил в универсальных форматах для использования напрямую в различных классах защитных решений: SIEM, EDR, NGFW, WAF и т. д.

Как часто проводить: по запросу.

Потоки данных о киберугрозах Solar TI Feeds, от 15 час.

Непрерывное усиление средств защиты и мониторинга с помощью фидов для раннего обнаружения и реагирования. В состав потока данных входят индикаторы компрометации (адреса, хеши) и атак (правила обнаружения).

Длительность оказания сервиса: от 3 месяцев.

Мониторинг DNS-трафика (собственная разработка), от 28 час.

Защита инфраструктуры от атак, использующих протокол DNS. Решение обеспечивает полную видимость DNS‑трафика, включая DNS‑over‑HTTPS, и блокирует угрозы с использованием алгоритмов машинного обучения и данных Threat Intelligence.

Длительность оказания сервиса: от 1 месяца.

Анализ ВПО и сетевого трафика,
от 8–40 час.

Помощь в анализе сложных образцов ВПО или сетевого трафика. Подготовка подробного технического отчета по итогу работ.

Как часто проводить: по запросу.

Обработка точечных TI‑запросов,
от 8 час.

Поддержка в получении дополнительных связей и данных по подозрительному IP, домену или файлу для расширения и увеличения эффективности поиска (блокирования) индикаторов компрометации.

Как часто проводить: по запросу.

Ежеквартальные TI-брифинги,
от 20 час.

Демонстрация для команды ИБ отчета об актуальных данных о киберугрозах на основе недавних расследований Solar 4RAYS:

  • Анализ тактик, техник
  • ВПО, используемое злоумышленниками
  • Данные по результатам обработки публичных и приватных источников данных киберразведки

Как часто проводить: 1 раз в квартал.

Часто задаваемые вопросы

Как привлечь к работам команду реагирования в рамках формата подписки?

В рамках договора вы совместно с командой расследования определите предпочтительные каналы оперативной коммуникации. При потребности в реагировании вы связываетесь с нами, а мы подключаемся в установленный SLA, собираем необходимую информацию и начинаем расследование.

Что делать, если кончились часы во время расследования инцидента ИБ?

Мы подключаемся к реагированию на инцидент незамедлительно, как только получили от вас оповещение. Во время работы над инцидентом мы предупредим вас о необходимости продлить часы подписки, но работу по локализации не остановим, так как наша задача — не допустить остановку ваших бизнес-процессов.

Что будет с часами подписки, если за год не произошло инцидента? На что можно обменять предоплаченную подписку?

В рамках подписки на реагирование на инциденты (Retainer) мы вам предоставляем возможность равноценного обмена часов на услуги команды Solar 4RAYS. Подробный список услуг мы определяем с вами на этапе подписания.

    Например, вы можете обменять часы на разовые запросы следующих услуг:

  • Выявление следов компрометации (Compromise Assessment)
  • Оценка готовности к реагированию (IR Readiness Assessment)
  • Информирование о компрометации подрядчиков или вас в течение года
  • Разработка детектирующей логики для выявления хостовых (Sigma, YARA) и сетевых аномалий
  • Потоки данных о киберугрозах (Solar TI Feeds)
  • Мониторинг DNS-трафика (собственная разработка)
  • Анализ ВПО или сетевого трафика
  • Обработка точечных TI-запросов
  • Ежеквартальные TI-брифинги
Что будет с часами подписки, которыми мы не воспользовались даже с учетом дополнительных услуг?

При оформлении подписки на реагирование на инциденты (Retainer) на следующий год мы предлагаем перенос до 15% оставшихся часов сверх нового пакета.

Но мы все-таки рекомендуем рассмотреть возможность использовать часы на проверку компрометации, срез потока данных TI Feeds или мониторинг DNS-трафика, что точно не будет лишним и поможет вам узнать о зловредной активности в вашем трафике от известных C2-серверов или других индикаторах компрометации.

Предоставляется ли услуга реагирования с физическим выездом на адрес заказчика?

Мы осуществляем реагирование удаленно. Представитель команды реагирования может выехать по необходимости, но это будет обсуждаться отдельно, вне пакета подписки на реагирование на инциденты (Retainer).

В чем отличие реагирования по подписке от услуг реагирования на инциденты информационной безопасности?

    Основным отличием является формат предоставления — это предоплата 100% и более оперативные SLA:

  • Не требуется время на решение юридических и финансовых вопросов
  • К моменту реагирования мы будем уже знакомы с вашей командой и инфраструктурой
  • У вас прямой контакт с нами в удобном вам канале связи
  • Вы получаете не только реагирование на инцидент ИБ, но и более 10 услуг и сервисов в выбранном пакете

Таблица сравнения таких услуг, как расследование и реагирование на инциденты (DFIR) и подписка на реагирование на инциденты (Retainer), на этой странице.

Зачем приобретать реагирование в формате подписки?

Формат оказания услуг по предоплаченному сертификату — это в первую очередь гарантия скорости реагирования и расследования инцидента информационной безопасности. Это устоявшийся подход в мировой практике, где эту услугу в том числе называют Incident Response Retainer (IRR).

Оперативность, которую обеспечивает формат предоплаченной подписки, — это ключевой фактор во время атаки здесь и сейчас, когда нет вариантов искать подрядчика и заключать договор. Крупная компания, объект КИИ или оператор персональных данных не могут себе позволить утечки критичных данных или длительного простоя бизнес-процессов.

ПОДПИСКА НА РЕАГИРОВАНИЕ НА ИНЦИДЕНТЫ

Узнать, как мы поможем противостоять атакам

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.