Выявление следов компрометации
Узнайте об угрозах до того, как злоумышленники достигнут своих целей
Мы выявляем технически сложные кибератаки, которые могут длительное время оставаться незамеченными для специалистов и средств защиты информации
Обзор сервиса
Человекоуправляемые атаки
Злоумышленники используют легитимные инструменты в процессе развития атаки для усложнения обнаружения своей деятельности. Используя опыт ранее расследованных инцидентов и данные киберразведки, мы выявим даже самый сложные и изощренные кибератаки, не детектируемые классическими СЗИ
Актуальные данные киберразведки
Определим ландшафт угроз для вашей компании, изучим теневой сегмент Интернета на наличие признаков готовящейся атаки, оценим вашу инфраструктуру извне с помощью Threat Intelligence и Attack Surface Management
Выявление скрытых угроз
Обнаружение скрытных технически сложных атак, связанных со шпионажем и хищением данных.
Реагирование на инцидент
При обнаружении признаков инцидента поможем локализовать угрозы, выясним, почему они возникли, а после их устранения продолжим работы по выявлению признаков компрометации
Противодействие внутренним угрозам
Обнаружим факты кражи информации действующими сотрудниками организации, если такое представится возможным
Анализ различных источников данных
В процессе анализа используются не только данные с конечных устройств, но также и сведения СЗИ (DLP, SIEM) и других источников телеметрии
Максимальное покрытие инфраструктуры
В процессе выявления следов компрометации проверяется максимально возможное количество устройств, а также вспомогательное оборудование
Цифровая гигиена
Выявление действий сотрудников, не соответствующих базовым правилам цифровой гигиены
Оценка пользовательской активности
Проанализируем использование сотрудниками программ двойного назначения и предоставим рекомендации по работе с такими утилитами
Инвентаризация ИТ-инфраструктуры
Проведем комплексную инвентаризацию систем ИТ-инфраструктуры, а также отработаем способы централизованного управления устройствами
Этапы выявления следов компрометации
1
Определим области исследования
Определение исследуемых сегментов сети, типов устройств и их количества
2
Оценим ландшафт угроз
Определим актуальные угрозы для отрасли вашей компании и разработаем гипотезы относительно действий потенциальных атакующих
3
Определим источники данных
Определим источники и объем необходимых для анализа данных (конечные устройства, СЗИ, DLP, SIEM и др.
4
Предоставим инструменты для сбора данных
Предоставим необходимые утилиты и сценарии для автоматизации сбора данных с учетом особенностей вашей инфраструктуры. Собранные данные передаются через наше защищенное облачное хранилище
5
Обработаем собранные данные
Для обработки используются собственные средства автоматизации, а также системы сканирования, позволяющие оперативно анализировать большой объем устройств
6
Отреагируем на угрозы и локализуем их
Проанализируем данные, а при обнаружении угроз оперативно разработаем рекомендации по их устранению
7
Разработаем рекомендации по повышению защищенности
На основе собранной телеметрии и анализа пользовательской активности мы разработаем рекомендации по повышению уровня защищенности инфраструктуры и предотвращению возможных атак в будущем
8
Подготовим отчет
Мы формируем детализированные отчеты с анализом выявленных угроз, описанием действий злоумышленников и предложениями по улучшению защиты информационной инфраструктуры
Почему важно проводить выявление следов компрометации?
Атакующие все чаще прибегают к различным подходам, чтобы скрывать свое присутствие в ИТ-инфраструктуре как можно дольше
Своевременное обнаружение угроз
Некоторые атаки могут оставаться незамеченными в течение длительного времени. Поиск следов компрометации помогает выявить имеющиеся скрытые, но еще не проявившие себя угрозы
Снижение рисков
Чем раньше обнаружена компрометация, тем быстрее можно нейтрализовать угрозы и минимизировать их последствия – от утечки данных до нарушения работы систем
Слияния ИТ-инфраструктур
Объединение непроверенных ИТ-инфраструктур может создать серьезные риски для бизнеса, поскольку уязвимости или компрометация одной из них может нанести значительный ущерб всей компании
Недавние киберинциденты
Реагирование на инциденты информационной безопасности в условиях отсутствия должного опыта, современных средств защиты или полноты покрытия ими, могут способствовать проведению повторных атак
Причины по которым нам доверяют
Глубокая отраслевая экспертиза
Мы предоставляем решения, которые адаптированы под специфические угрозы в различных отраслях, будь то финансы, здравоохранение, ритейл, промышленность и другие. Это позволяет нашим клиентам получать релевантную и эффективную защиту
Комплексные обучающие программы
Мы обеспечиваем клиентам детализированные отчеты о каждом инциденте с рекомендациями по предотвращению подобных ситуаций, а также проводим обучающие семинары для повышения квалификации ваших сотрудников
Специалисты с международной экспертизой
Наша команда имеет большой опыт работы в международных проектах и понимание глобальных киберугроз. Это позволяет нам адаптировать лучшие мировые практики под специфику российского бизнеса, чтобы обеспечивать высочайший уровень защиты
Интеграция с существующими системами
Мы обеспечиваем бесшовную интеграцию сервисов реагирования с уже установленными у клиента системами и процессами. Это минимизирует необходимость дополнительных ресурсов
Вы стали жертвой кибератаки?
Свяжитесь с нами для получения оперативной помощи по реагированию на инцидент
Часто задаваемые вопросы
Чем полезна услуга по выявлению следов компрометации?
addcloseУслуга по выявлению следов компрометации в IT-инфраструктуре позволяет организациям своевременно обнаружить признаки атаки и оперативно устранять угрозы, даже если стандартные инструменты защиты не сработали. Кроме того, сервис помогает найти слабые места в существующих средствах защиты и повысить общий уровень защищенности ИТ-инфраструктуры. Используя данные, полученные в ходе проведения работ по выявлению следов компрометации, и рекомендации экспертов Заказчики могут более эффективно реагировать на инциденты информационной безопасности.
Как проводится услуга по выявлению следов компрометации?
addcloseДля анализа собираются криминалистически значимые данные с максимально возможного количества устройств ИТ-инфраструктуры (или отдельных ее сегментов). После этого данные обрабатываются экспертами F6 при помощи специализированных утилит и средств автоматизации собственной разработки. В уже обработанных данных осуществляется поиск следов нелегитимной активности, эксплуатации уязвимостей или следов закрепления. Услуга сочетает в себе методы ручного и автоматизированного обнаружения компрометации, включая проактивный поиск угроз, анализ алертов и криминалистическое исследование хостов.
Возможно ли провести оценку компрометации без нарушения бизнес-процессов?
addcloseУслуга позволяет установить, была ли организация скомпрометирована, без влияния на бизнес-процессы компании. Эксперты F6 используют неинвазивные инструменты и методики, обеспечивающие минимальное влияние на работу организации или его полное отсутствие. Наша цель — обнаруживать и анализировать угрозы, не нарушая деятельность компании.
Храните ли вы данные клиентов после завершения работ?
addcloseВсе данные удаляются из наших систем сразу после того, как отчет по результатам проверки согласован клиентом.
Какие данные вы собираете с устройств для анализа?
addcloseДля анализа с конечных устройств собираются данные журналов событий, системные файлы и данные телеметрии о запущенных процессах, сетевых соединениях и др. При этом какие-либо пользовательские файлы или конфиденциальные данные не собираются.
Какие дальнейшие шаги по повышению уровня защищенности вы можете предложить после завершения проверки?
addcloseПосле завершения работ по выявлению следов компрометации в ИТ-инфраструктуре и выполнения предоставленных рекомендаций клиенты F6 обычно заказывают проверку готовности к реагированию на инциденты и тренинги по кибербезопасности для повышения навыков команды ИБ.
Еще одной мерой, которую мы рекомендуем для снижения рисков ИБ, может стать установка F6 Managed XDR — решения, которое позволяет оперативно обнаруживать нелегитимную активность и кибератаки, проводить проактивный поиск релевантных угроз и эффективно реагировать на инциденты до того, как они нанесут серьезный урон.
Остались вопросы? Свяжитесь с нами