Выявление следов компрометации

Узнайте об угрозах до того, как злоумышленники достигнут своих целей

Мы выявляем технически сложные кибератаки, которые могут длительное время оставаться незамеченными для специалистов и средств защиты информации

Сообщить об инциденте

Обзор сервиса

Выявление следов компрометации от F6 — это комплексная проверка всей ИТ-инфраструктуры, целью которой является обнаружение признаков несанкционированного доступа, нелегитимной активности и скрытых угроз. Данная услуга относится к методам проактивной защиты, с помощью которой можно выявить и ликвидировать угрозы до того, как они приведут к серьезным последствиям.

Анализ различных источников данных

Проверка всех устройств инфраструктуры

Обнаружение угроз путем комплексного анализа и корреляции данных из различных источников

Реагирование на инцидент

Анализ вредоносного ПО и его возможностей

Оценка пользовательской активности

Рекомендации

Анализ различных источников данных

В процессе анализа используются не только данные с конечных устройств, но и сведения из различных СЗИ (DLP, SIEM и др.)

Проверка всех устройств инфраструктуры

В процессе выявления следов компрометации проверяется максимально возможное количество устройств ИТ-инфраструктуры клиента

Обнаружение угроз путем комплексного анализа и корреляции данных из различных источников

Мы формируем гипотезы о том, как может действовать злоумышленник, и проверяем их, сопоставляя активность пользователей и систем с данными киберразведки, признаками атак и методами, описанными в MITRE ATT&CK

Реагирование на инцидент

При обращении за услугой с нелокализованным инцидентом или при обнаружении его в процессе анализа данных, поможем с локализацией угроз и выясним почему они возникли. Затем продолжим работу по выявлению признаков компрометации

Анализ вредоносного ПО и его возможностей

Проанализируем обнаруженное вредоносное программное обеспечение, опишем его функциональные возможности

Оценка пользовательской активности

Проанализируем действия пользователей, в том числе использование программ двойного назначения (dual-use tools), которые могут применяться как легитимно, так и в рамках кибератак. Выявим потенциально опасные сценарии их использования и подготовим рекомендации по ограничению, контролю или допустимому применению таких инструментов в корпоративной среде

Рекомендации

На основе полученных данных подготовим рекомендации по повышению защищённости ИТ-инфраструктуры в целом, а также для отдельных её сегментов.

Этапы выявления следов компрометации

Определим области исследования

Определение исследуемых сегментов сети, типов устройств и их количества

Оценим ландшафт угроз

Определим актуальные угрозы для отрасли вашей компании и разработаем гипотезы относительно действий потенциальных атакующих

Определим источники данных

Определим источники и объем необходимых для анализа данных (конечные устройства, СЗИ, DLP, SIEM и др.)

Предоставим инструкции и инструменты для сбора данных

Предоставим подробные инструкции, утилиты и сценарии для автоматизированного сбора необходимых данных с конечных устройств. Решения адаптированы под корпоративные инфраструктуры и не требуют остановки рабочих процессов. Все собранные данные передаются в защищённое облачное хранилище для дальнейшей обработки нашими специалистами

Обработаем собранные данные

Для обработки используются собственные средства автоматизации, а также системы сканирования, позволяющие оперативно анализировать большие объемы информации

Отреагируем на угрозы и локализуем их

Проанализируем данные, а при обнаружении угроз оперативно разработаем рекомендации по их устранению

Разработаем рекомендации по повышению защищенности

На основе собранной телеметрии и анализа пользовательской активности мы разработаем рекомендации по повышению уровня защищенности инфраструктуры и предотвращению возможных атак в будущем

Подготовим отчет

Мы формируем детализированные отчеты с анализом выявленных угроз, описанием действий злоумышленников и предложениями по улучшению защиты информационной инфраструктуры

Почему важно проводить выявление следов компрометации?

Атакующие все чаще прибегают к различным подходам, чтобы скрывать свое присутствие в ИТ-инфраструктуре как можно дольше

Своевременное обнаружение угроз

Некоторые атаки могут оставаться незамеченными в течение длительного времени. Поиск следов компрометации помогает выявить имеющиеся скрытые, но еще не проявившие себя угрозы

Снижение рисков

Чем раньше обнаружена компрометация, тем быстрее можно нейтрализовать угрозы и минимизировать их последствия – от утечки данных до нарушения работы систем

Слияния ИТ-инфраструктур

Объединение непроверенных ИТ-инфраструктур может создать серьезные риски для бизнеса, поскольку компрометация одной из них может нанести значительный ущерб всей компании

Недавние киберинциденты

Реагирование на инциденты информационной безопасности в условиях отсутствия должного опыта, современных средств защиты или полноты покрытия ими, могут способствовать проведению повторных атак

Инциденты в доверенных инфраструктурах

Компрометация подрядчика, дочерней компании, поставщика услуг или разработчика ПО могут стать причиной компрометации вашей инфраструктуры

Причины по которым нам доверяют

Глубокая экспертиза в противостоянии киберугрозам

Команда F6 обладает многолетним опытом и современными технологиями для противодействия сложным киберугрозам. Уникальный практический опыт, глубокое понимание актуальных угроз и методы, проверенные в реальных инцидентах, позволяют нам надежно защищать интересы наших клиентов

Комплексный подход

Мы не просто находим компрометацию — мы объясняем, как и почему она произошла, даём чёткие рекомендации по локализации угроз, повышению защищенности на всех уровнях и проводим обучающие семинары для повышения квалификации ваших сотрудников

Гибкость подхода

Работаем как с компаниями, где уже произошёл инцидент, так и в проактивном формате — когда нужно убедиться в отсутствии скрытых угроз

Интеграция с существующими системами

Обеспечиваем бесшовную интеграцию сервисов реагирования с уже установленными у клиента системами и процессами. Это минимизирует необходимость дополнительных затрат

Методология и оперативность, проверенные на практике

Применяемые подходы к проведению работ и инструменты собственной разработки позволяют оперативно проводить глубокий анализ данных без потери качества и предоставлять прозрачные, обоснованные результаты в сжатые сроки

Вы стали жертвой кибератаки?

Свяжитесь с нами для получения оперативной помощи по реагированию на инцидент

Я даю согласие на обработку своих персональных данных и подтверждаю, что ознакомлен(а) и согласен(а) с условиями Политики конфиденциальности и Пользовательского соглашения*

Я хотел(а) бы получать информацию о новых продуктах, изменении цен, а также специальные предложения от F6. Я осознаю, что могу изменить свое решение в любой момент, отписавшись от рассылки по ссылке в любом из сообщений от F6.

Часто задаваемые вопросы

Чем полезна услуга по выявлению следов компрометации?

addclose

Услуга по выявлению следов компрометации в IT-инфраструктуре позволяет организациям своевременно обнаружить признаки атаки и оперативно устранять угрозы, даже если стандартные инструменты защиты не сработали. Кроме того, сервис помогает найти слабые места в существующих средствах защиты и повысить общий уровень защищенности ИТ-инфраструктуры. Используя данные, полученные в ходе проведения работ по выявлению следов компрометации, и рекомендации экспертов Заказчики могут более эффективно реагировать на инциденты информационной безопасности.

Как проводится услуга по выявлению следов компрометации?

addclose

Для анализа собираются криминалистически значимые данные с максимально возможного количества устройств ИТ-инфраструктуры (или отдельных ее сегментов). После этого данные обрабатываются экспертами F6 при помощи специализированных утилит и средств автоматизации собственной разработки. В уже обработанных данных осуществляется поиск следов нелегитимной активности, эксплуатации уязвимостей или следов закрепления. Услуга сочетает в себе методы ручного и автоматизированного обнаружения компрометации, включая проактивный поиск угроз, анализ алертов и криминалистическое исследование хостов.

Возможно ли провести оценку компрометации без нарушения бизнес-процессов?

addclose

Услуга позволяет установить, была ли организация скомпрометирована, без влияния на бизнес-процессы компании. Эксперты F6 используют неинвазивные инструменты и методики, обеспечивающие минимальное влияние на работу организации или его полное отсутствие. Наша цель — обнаруживать и анализировать угрозы, не нарушая деятельность компании.

Храните ли вы данные клиентов после завершения работ?

addclose

Все данные удаляются из наших систем сразу после того, как отчет по результатам проверки согласован клиентом.

Какие данные вы собираете с устройств для анализа?

addclose

Для анализа с конечных устройств собираются данные журналов событий, системные файлы и данные телеметрии о запущенных процессах, сетевых соединениях и др. При этом какие-либо пользовательские файлы или конфиденциальные данные не собираются.

Какие дальнейшие шаги по повышению уровня защищенности вы можете предложить после завершения проверки?

addclose

После завершения работ по выявлению следов компрометации в ИТ-инфраструктуре и выполнения предоставленных рекомендаций клиенты F6 обычно заказывают проверку готовности к реагированию на инциденты и тренинги по кибербезопасности для повышения навыков команды ИБ.

Еще одной мерой, которую мы рекомендуем для снижения рисков ИБ, может стать установка F6 Managed XDR — решения, которое позволяет оперативно обнаруживать нелегитимную активность и кибератаки, проводить проактивный поиск релевантных угроз и эффективно реагировать на инциденты до того, как они нанесут серьезный урон.

Остались вопросы? Свяжитесь с нами

Связаться