Расследование инцидентов информационной безопасности
Проведем расследование, поможем минимизировать ущерб, определим причины, и подскажем как исключить повторений
Когда необходима услуга расследования инцидентов ИБ
Если ваша компания столкнулась с инцидентами информационной безопасности:
В результате были нарушены ваши бизнес-процессы, произошла утечка данных, часть инфраструктуры стала недоступна или нанесен иной ущерб, то вам необходимо провести расследование и убедиться, что угрозы нет в вашей инфраструктуре.
- вредоносным ПО;
- шифровальщиком;
- фишингом;
- хищением чувствительной информации;
- взломом сайтов или системы команд.
В результате были нарушены ваши бизнес-процессы, произошла утечка данных, часть инфраструктуры стала недоступна или нанесен иной ущерб, то вам необходимо провести расследование и убедиться, что угрозы нет в вашей инфраструктуре.
Зачем расследовать инциденты ИБ
Проведение расследования инцидентов ИБ критически важно для защиты данных и обеспечения безопасности систем.
Оно помогает минимизировать ущерб и предотвращать повторное возникновение.
Цели проведения расследования:
Оно помогает минимизировать ущерб и предотвращать повторное возникновение.
Цели проведения расследования:
- локализация инцидента ИБ;
- устранение последствий инцидента ИБ;
- выяснение причин возникновения инцидента ИБ;
- формирование мер по недопущению повторных возникновений подобных инцидентов ИБ.
Внезапное увеличение загрузки процессора, активности диска или сети
Подозрительные электронные письма с вложениями или ссылками
Несанкционированные изменения прав доступа
к файлам или их удаление
Обнаружение неизвестного ПО, файлов или процессов в системе
Незнакомые транзакции или изменения настроек учетной записи
Если у вас есть подобные аномалии, то вам необходимо обратиться к экспертам и начать расследование инцидента ИБ в кротчайшие сроки.
Можно определить, произошел ли инцидент безопасности или все еще продолжается, с помощью перечисленных признаков:
Неожиданные изменения в системе или создание новых учетных записей
Как выявить инцидент ИБ
Внезапное увеличение сетевой активности, особенно в нерабочее время
Медленная работа, сбои или частые перезапуски приложений
Получение пользователями доступов к файлам или системам, которые они не используют
Выявили инцидент?
Обратитесь за расследованием к профессионалам!
Оперативное расследование и реагирование поможет защитить вашу инфраструктуру, ликвидировать последствия и предотвратить будущие атаки.
После расследования вы получите
Набор срочных мер для остановки атаки
Описание участников инцидента: внешних и внутренних
Описание хода атаки с указание хронологии (таймлайн)
Набор рекомендаций по недопущению повторного возникновения инцидента
Набор мер по восстановлению работоспособности и устранению последствий
Перечень недостатков в системе защиты информации и уязвимостей, которые привели к инциденту
Этапы расследования инцидента ИБ
Собирается вся необходимая информация об инциденте ИБ, проводится классификация и предварительная оценка критичности инцидента, категоризация, формируется команда реагирования (форензики, Red Team, AppSec, инженеры и т.п.), выдаются первоочередные меры по сдерживанию.
В рамках этого этапа проводится подробный анализ собранной информации об инциденте:
- анализ образцов ВПО;
- анализ событий систем защиты;
- анализ системных событий ОС и приложений;
- анализ сетевых артефактов и метаданных;
- анализ сетевого трафика;
- сопоставление инцидента с известными вредоносными компаниями и/или группами злоумышленников (атрибуция).
- выводы о причинах возникновения инцидента;
- вектор проникновения и распространения (при его установлении в рамках работ);
- выводы о влиянии инцидента на скомпрометированную систему.
Разрабатываются меры и необходимые мероприятия по сдерживанию инцидента, чтобы не допустить его дальнейшего распространения
и наращивания возможностей злоумышленников.
и наращивания возможностей злоумышленников.
Устраняются все последствия инцидента (смена скомпрометированных учетных данных, удаление ВПО и средств удаленного доступа и т.п.), проводится восстановление работоспособности информационной инфраструктуры и необходимых бизнес-процессов.
По завершении работ предоставляется отчет, он будет включать в себя:
- подробное описание инцидента и результатов расследования;
- подробное описание обнаруженных уязвимостей исходного кода;
- подробное описание обнаруженных и проэксплуатированных уязвимостей;
- индикаторы компрометации;
- выводы о причинах возникновения инцидента (при их установлении);
- вектор возникновения и распространения (при его установлении в рамках работ), хронологию событий;
- оценку влияния инцидента на инфраструктуру Заказчика;
- оценку уровня опасности инцидента;
- перечень скомпрометированных ресурсов;
- подробную техническую информацию об инциденте и ходе работ;
- дополнительно выявленные инциденты в ходе расследования;
- выводы об исполнителе атаки (его характеристику, возможные цели и уровень подготовки, другую информацию);
- краткосрочные рекомендации по восстановлению скомпрометированных систем и устранению последствий компрометации, а также по защите от повторной компрометации;
- долгосрочные рекомендации по повышению уровня защищенности инфраструктуры Заказчика от атак со стороны внешнего и внутреннего нарушителей;
- детальное техническое описание ВПО.
Почему нужно доверить расследование экспертам Центра кибербезопасности
При самостоятельном расследовании высок риск потери важных частей доказательной базы, что может привести к усложнению анализа ситуации
Договор NDA на услугу расследования инцидента ИБ защитит конфиденциальность ваших данных
Опытная многопрофильная команда аналитиков быстрее и эффективнее проведет расследование, предотвращая дальнейшее распространение атаки
Вас взломали?
Мы поможем!
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных