Реагирование на инциденты
Оперативное реагирование и расследование инцидентов с круглосуточной поддержкой
Полный цикл реагирования от специалистов с уникальной экспертизой для компании любой отрасли: от выявления угроз и их локализации, до разработки практических рекомендаций по восстановлению и защите инфраструктуры
Этапы реагирования на инцидент
1
Оценка инцидента
Классифицируем атаку, предоставляем первичные технические рекомендации и разрабатываем план действий по локализации инцидента и его расследованию
2
Сбор данных
Собираем необходимые для анализа данные. Мы предоставим необходимые утилиты и сценарии для автоматизации сбора данных с учетом особенностей вашей инфраструктуры. Собранные данные передаются на анализ в наше защищенное облачное хранилище
3
Внедрение MXDR и мониторинг
Проводим непрерывный (круглосуточный) мониторинг системной и пользовательской активности в инфраструктуре при помощи F6 MXDR. При обнаружении угроз система MXDR автоматически предпринимает меры по их локализации
4
Обнаружение и локализация угроз
Оперативно анализируем собранные данные и телеметрию F6 MXDR, выявляем инструменты и техники злоумышленников. Разрабатываем рекомендации по локализации выявленных угроз и противодействию атакующим
5
Разработка рекомендаций
На основе собранной телеметрии и анализа действий атакующих мы разрабатываем рекомендации по повышению уровня защищенности инфраструктуры и предотвращению возможных атак в будущем
6
Подготовка отчета
Мы формируем отчет с подробным описанием хронологии развития атаки, анализом выявленного инструментария злоумышленников и рекомендациями по устранению последствий инцидента
Обзор сервиса
Локализация инцидента
Мы определим командные центры атакующих, используемые ими инструменты и используемые ими способы закрепления в инфраструктуре. Поможем локализовать угрозы, прекратить доступ злоумышленников к локальной сети и не допустить дальнейшего развития атаки
Мониторинг в реальном времени
В период реагирования и расследования мы можем предоставить наши решения, с помощью которых ваша компания будет находиться под защитой центра кибербезопасности F6. При помощи F6 MXDR наши специалисты осуществляют непрерывный контроль за системной и пользовательской активностью на устройствах. Это позволяет своевременно обнаруживать вредоносную активность и блокировать ее в автоматическом режиме
Восстановление хронологии атак
Мы выявим причины наступления инцидента, определим какие действия предпринимали атакующие, а также к каким системам и данным они смогли получить доступ. При обнаружении новых сведений об атаке наши специалисты оперативно уведомят о них, дадут рекомендации по локализации угроз и минимизации рисков
Определение масштабов атаки
В процессе реагирования мы реконструируем схему перемещений атакующих по сети, а также выявим факты взаимодействия со смежными или партнёрскими инфраструктурами. Это позволит предотвратить «каскадные» атаки с использованием доверительных отношений или обнаружить другие возможные риски
Повышение уровня защищенности
В ходе реагирования на инцидент мы разработаем рекомендации, направленные на повышение уровня защищенности инфраструктуры и безопасной конфигурации конечных устройств
Почему оперативное реагирование должно быть в центре внимания?
Атакующие все чаще прибегают к различным подходам, чтобы скрывать свое присутствие в ИТ-инфраструктуре как можно дольше
Минимизация ущерба
Быстрое и качественное реагирование на инцидент, а также его локализация позволяют минимизировать финансовые потери, время простоя, утрату критически важных данных и ущерб репутации
Сохранение доверия
Инциденты ИБ могут подорвать доверие клиентов, партнеров и инвесторов. Оперативное и профессиональное реагирование демонстрирует ответственный подход к безопасности
Предотвращение повторных инцидентов
Несвоевременное выявление угроз и недостаточное понимание всех обстоятельств инцидента могут привести к его повторению. Оперативное реагирование и тщательное расследование помогут предотвратить дальнейшие негативные последствия
Уроки на будущее
Реагирование включает не только устранение текущих угроз, но и анализ инцидента, который позволит выявить все обстоятельства его наступления, улучшить процессы в организации безопасности и провести работу над ошибками
Причины, по которым нам доверяют
Глубокая экспертиза в противостоянии киберугрозам
Команда F6 обладает многолетним опытом и современными технологиями для противодействия сложным киберугрозам. Уникальный практический опыт, глубокое понимание актуальных угроз и методы, проверенные в реальных инцидентах, позволяют нам надежно защищать интересы наших клиентов
Подробная отчетность
Мы формируем детализированные отчеты о каждом инциденте с качественными рекомендациями по предотвращению подобных ситуаций и повышению уровня защищенности ИТ-инфраструктур
Специалисты с международной экспертизой
Наша команда имеет большой опыт работы в международных проектах и глубокое понимание глобальных киберугроз. Мы успешно адаптируем лучшие мировые практики под специфику российского бизнеса и применяем их для эффективной защиты от современных угроз
Интеграция с существующими системами
Обеспечиваем бесшовную интеграцию сервисов реагирования с уже установленными у клиента системами и процессами. Это минимизирует необходимость дополнительных затрат
Свяжитесь с нами, чтобы оперативно получить помощь и начать исследование
Часто задаваемые вопросы
Почему компаниям рекомендуется привлекать сторонних экспертов для реагирования на инциденты?
addcloseВысока вероятность того, что у собственной команды ИБ нет опыта реагирования на сложные человекоуправляемые атаки. Для противодействия угрозам и выявления следов компрометации требуется опыт, полученный в ходе ежедневного реагирования на инциденты, а также знание актуальных тактик, методов и процедур, используемых злоумышленниками. В большинстве случаев у внутренних ИБ-команд нет возможности приобрести такие навыки и опыт.
Для чего проводить реагирование на инцидент, если удалось устранить его последствия и восстановить работоспособность ИТ-инфраструктуры?
addcloseВ современных кибератаках важно не только восстановить работоспособность ИТ-инфраструктуры после инцидента, но и убедиться, что злоумышленники не сохранили доступ к системам внутри периметра. В противном случае атакующие могут длительное время скрытно осуществлять доступ и осуществлять кражу данных. Для обнаружения всех действий злоумышленников и предотвращения повторной компрометации требуются экспертные знания в цифровой криминалистике и восстановление полной хронологии атаки.
Почему недостаточно полагаться только на собственную команду ИБ?
addcloseАтакующие часто используют не только сложно сконфигурированное вредоносное ПО, но и легитимные и свободно-распространяемые популярные утилиты. Это существенно усложняет процесс обнаружения угроз и реагирования на инциденты ИБ даже для средств антивирусной защиты и мониторинга. Эксперты F6 имеют большой опыт реагирования на человекоуправляемые атаки и в большинстве случаев смогут дать рекомендации по локализации угрозы сразу после предварительной оценки инцидента.
В процессе анализа эксперты F6 используют собственные средства автоматизации и корреляции для ускорения процесса реагирования на инцидент, а также данные Киберразведки F6.
Наши специалисты используют собственную разработку F6 — решение Managed XDR, которое обеспечивает эффективную защиту, быстрый сбор криминалистических данных и локализацию скомпрометированных хостов, а также круглосуточный мониторинг событий и уведомления благодаря специалистам CERT.
Какие данные с устройств вы собираете для анализа?
addcloseДля анализа с конечных устройств собираются данные журналов событий, системные файлы и данные телеметрии о запущенных процессах, сетевых соединениях и др. При этом какие-либо пользовательские файлы или конфиденциальные данные не собираются.
Храните ли вы данные клиентов после завершения работ?
addcloseВсе данные удаляются из наших систем сразу после того, как отчет по результатам проверки согласован клиентом.
Какие дальнейшие шаги по повышению уровня защищенности вы можете предложить после завершения проверки?
addcloseПосле завершения работ по реагированию на инцидент и выполнения разработанных специалистами рекомендаций клиенты F6 обычно заказывают проверку на наличие следов компрометации всей ИТ-инфраструктуры.
Еще одной мерой, которую мы рекомендуем для снижения рисков ИБ, может стать установка F6 Managed XDR — решения, которое позволяет оперативно обнаруживать нелегитимную активность и кибератаки, проводить проактивный поиск релевантных угроз и эффективно реагировать на инциденты до того, как они нанесут серьезный урон.
Остались вопросы? Свяжитесь с нами