КРЕДО-С

Расследование инцидентов

Компьютерная криминалистика и расследование инцидентов информационной безопасности. Анализ индикаторов компрометации, определение векторов атак, сбор цифровых доказательств, восстановление хронологии событий.

Услуга «Расследование инцидентов» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Компьютерная криминалистика и расследование инцидентов информационной безопасности. Анализ индикаторов компрометации, определение векторов атак, сбор цифровых доказательств, восстановление хронологии событий. Категория: Мониторинг и SOC. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: 117fstec.credos.ru

Описание услуги

Расследование инцидентов информационной безопасности (форензика) — процесс детального анализа произошедшего киберинцидента для установления его причин, масштаба ущерба и предотвращения повторения в будущем. Профессиональное расследование критически важно для понимания действий злоумышленников и усиления защиты.

Специалисты КРЕДО-С проводят расследование с использованием методов компьютерной криминалистики. Первый этап — сбор и консервация цифровых доказательств: снятие образов дисков скомпрометированных систем, сохранение оперативной памяти, извлечение логов из различных источников. Все действия документируются для обеспечения юридической значимости результатов.

Производится анализ собранных артефактов с целью выявления индикаторов компрометации (IoC): следов вредоносного ПО, аномальных сетевых соединений, несанкционированных изменений файлов, подозрительных учётных записей. Восстанавливается хронология событий: точка первоначального проникновения, действия злоумышленника внутри сети, экфильтрация данных.

Определяются вектор атаки и используемые техники согласно фреймворку MITRE ATT&CK. Анализируются использованные инструменты и методы для атрибуции атаки возможным группировкам. Оценивается масштаб компрометации: какие системы были затронуты, какие данные могли быть украдены или повреждены.

По результатам расследования формируется детальный отчёт с описанием хронологии инцидента, технических деталей атаки, оценкой ущерба и рекомендациями по предотвращению аналогичных инцидентов. Для субъектов КИИ отчёт включает данные, необходимые для уведомления НКЦКИ в соответствии с требованиями 187-ФЗ и порядком взаимодействия с ГосСОПКА.

Результаты расследования напрямую влияют на расчёт показателя защищённости КЗИ по приказу ФСТЭК №117: выявленные уязвимости и нарушения учитываются при оценке текущего состояния защищённости организации. Рекомендации по усилению защиты позволяют устранить причины инцидента и повысить значение показателя КЗИ при последующем расчёте.

При необходимости КРЕДО-С взаимодействует с правоохранительными органами, предоставляя материалы расследования для возбуждения уголовных дел. Компания имеет лицензии ФСТЭК России и ФСБ России, более 33 лет опыта в информационной безопасности.

Что входит

  • Экстренное реагирование на инцидент и локализация угрозы
  • Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
  • Анализ индикаторов компрометации (IoC) и вредоносного ПО
  • Восстановление хронологии событий и вектора атаки
  • Атрибуция атаки по фреймворку MITRE ATT&CK
  • Оценка масштаба компрометации и утечки данных
  • Рекомендации по предотвращению повторных инцидентов
  • Взаимодействие с правоохранительными органами при необходимости

Результаты работы

Детальный отчёт о расследовании с хронологией инцидента
Перечень индикаторов компрометации (IoC) для блокировки
Описание вектора атаки и используемых техник (MITRE ATT&CK)
Оценка ущерба и масштаба компрометации
Рекомендации по усилению защиты и предотвращению повторения
Материалы для правоохранительных органов (при необходимости)

Преимущества

Экспертиза в компьютерной криминалистике и анализе вредоносного ПО

Использование фреймворка MITRE ATT&CK для атрибуции атак

Юридически значимая документация результатов расследования

Экстренное реагирование — начало работ в течение 4 часов

Лицензии ФСТЭК и ФСБ России

Проекты по этой услуге

Мониторинг ИБ и защита от целевых атак в финансовой организации
Финансовый сектор
NDA
2023

Мониторинг ИБ и защита от целевых атак в финансовой организации

Мониторинг событий ИБ

Развёртывание системы мониторинга 24/7 и защиты от целевых атак на базе F.A.C.C.T. Managed XDR для крупной финансовой организации в рамках MSSP-партнёрства.

  • За год решение выявило и заблокировало более 126 500 кибератак, из них около 125 000 пришлись на сетевые атаки и более 700 относились к атакам на хосты
  • Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
  • Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Подробнее о проекте

Другие услуги

Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Круглосуточный мониторинг событий информационной безопасности на базе SIEM/XDR/EDR. Обнаружение инцидентов, анализ угроз, оперативное реагирование. Собственный SOC-центр КРЕДО-С.

  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее
Пентест и киберучения

Тестирование на проникновение

Пентест информационных систем по методологии Black/Gray/White Box. Тестирование внешнего и внутреннего периметра, веб-приложений, беспроводных сетей, мобильных приложений. Имитация действий реальных злоумышленников.

  • Планирование и разведка целевой инфраструктуры (OSINT)
  • Сканирование и анализ уязвимостей внешнего и внутреннего периметра
  • Активная эксплуатация уязвимостей по методологиям Black/Gray/White Box
  • Пентест веб-приложений по OWASP Top 10
  • и ещё 4...
Подробнее
Пентест и киберучения

Анализ защищённости

Комплексная проверка безопасности ИТ-инфраструктуры: автоматизированное сканирование уязвимостей и ручной анализ конфигураций. Оценка рисков, проверка настроек, тестирование контроля доступа.

  • Автоматизированное сканирование уязвимостей сертифицированными сканерами
  • Ручной анализ конфигураций средств защиты информации
  • Проверка правил межсетевых экранов и политик контроля доступа
  • Тестирование механизмов аутентификации и разграничения доступа
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Когда нужно расследование инцидентов?
Расследование необходимо при любом подозрении на компрометацию: утечке данных, обнаружении вредоносного ПО, несанкционированном доступе к системам, шифровании файлов. Чем раньше начинается расследование, тем больше цифровых следов удаётся сохранить.
Что включает цифровая криминалистика?
Цифровая криминалистика (форензика) включает снятие образов дисков, сохранение дампов оперативной памяти, извлечение и анализ логов, поиск индикаторов компрометации, восстановление хронологии действий злоумышленника и атрибуцию атаки по фреймворку MITRE ATT&CK.
Сколько времени занимает расследование инцидента?
Экстренное реагирование начинается в течение 4 часов. Полное расследование занимает от 1 до 4 недель в зависимости от масштаба инцидента и количества затронутых систем. Предварительные результаты с ключевыми выводами предоставляются в первые дни.
Можно ли использовать результаты расследования в суде?
Да. Все действия документируются с соблюдением процедур, обеспечивающих юридическую значимость доказательств. При необходимости КРЕДО-С взаимодействует с правоохранительными органами и предоставляет материалы для возбуждения уголовных дел.

Обсудить ваш проект

Рассчитайте класс защищённости онлайн или оставьте заявку для бесплатной консультации

Рассчитать КЗИ