dark-logo

Расследование инцидентов ИБ методами цифровой криминалистики

Для полной картины инцидента и минимизации последствий мы проводим расследование с применением методов цифровой криминалистики: собираем и криминалистически корректно фиксируем доказательства, восстанавливаем хронологию атаки, определяем вектор входа, инструменты и техники злоумышленника и масштаб компрометации.

FZ-187-head

От доказательств — к полной картине инцидента

 

Расследование начинается с корректной фиксации следов и заканчивается ответом на вопросы: что произошло, как далеко зашёл атакующий и что делать дальше.

Фиксация доказательств

Криминалистически корректный сбор и фиксация цифровых доказательств с сохранением целостности и цепочки владения.

Анализ артефактов

Анализ образов дисков, дампов оперативной памяти, журналов событий и сетевого трафика.

Восстановление картины

Полная хронология атаки, вектор первоначального проникновения, инструменты и техники, масштаб компрометации.

Фиксация доказательств

Криминалистически корректный сбор и фиксация цифровых доказательств с сохранением целостности и цепочки владения.

Анализ артефактов

Анализ образов дисков, дампов оперативной памяти, журналов событий и сетевого трафика.

Восстановление картины

Полная хронология атаки, вектор первоначального проникновения, инструменты и техники, масштаб компрометации.

Ответы, которые даёт расследование

Вектор проникновения

Как именно атакующий попал внутрь — точка входа и первоначальный доступ.

Инструменты и техники

Чем действовал злоумышленник — ВПО, инструменты и техники (по MITRE ATT&CK).

Масштаб компрометации

Насколько глубоко зашёл атакующий и какие системы затронуты.

Затронутые данные

Какие данные скомпрометированы и есть ли признаки их вывода за периметр.

Вектор проникновения

Как именно атакующий попал внутрь — точка входа и первоначальный доступ.

Инструменты и техники

Чем действовал злоумышленник — ВПО, инструменты и техники (по MITRE ATT&CK).

Масштаб компрометации

Насколько глубоко зашёл атакующий и какие системы затронуты.

Затронутые данные

Какие данные скомпрометированы и есть ли признаки их вывода за периметр.

Как проводится расследование

 

Этапы, терминология и порядок действий опираются на признанные стандарты цифровой криминалистики и реагирования на инциденты.

NIST SP 800-61

Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.

NIST SP 800-86

Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.

ISO/IEC 27037

Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.

ISO/IEC 27042

Анализ и интерпретация цифровых доказательств.

ISO/IEC 27035

Управление инцидентами информационной безопасности.

SANS PICERL

Шестиэтапный процесс реагирования на инциденты.

MITRE ATT&CK

Привязка действий атакующего к тактикам и техникам.

OWASP · Top 10 / WSTG

Справочник по веб-атакам — когда вектор входа связан с веб-приложением.

NIST SP 800-61

Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.

NIST SP 800-86

Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.

ISO/IEC 27037

Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.

ISO/IEC 27042

Анализ и интерпретация цифровых доказательств.

ISO/IEC 27035

Управление инцидентами информационной безопасности.

SANS PICERL

Шестиэтапный процесс реагирования на инциденты.

MITRE ATT&CK

Привязка действий атакующего к тактикам и техникам.

OWASP · Top 10 / WSTG

Справочник по веб-атакам — когда вектор входа связан с веб-приложением.

Этапы расследования

  • Реагирование и сдерживание
    Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».
  • Криминалистический сбор
    Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.
  • Анализ артефактов
    Исследуем диски, память, журналы и трафик; выделяем индикаторы компрометации и инструменты атакующего.
  • Реконструкция хронологии
    Сводим следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.
  • Оценка масштаба и последствий
    Определяем затронутые системы и данные, оцениваем последствия инцидента. Атрибуция — по возможности, с честной оценкой достоверности.
  • Отчёт и рекомендации
    Готовим отчёт с описанием шагов и результатов, оценкой последствий и рекомендациями по устранению и предотвращению повторных инцидентов.
meta
  • Реагирование и сдерживание
    Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».
  • Криминалистический сбор
    Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.
  • Анализ артефактов
    Исследуем диски, память, журналы и трафик; выделяем индикаторы компрометации и инструменты атакующего.
  • Реконструкция хронологии
    Сводим следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.
  • Оценка масштаба и последствий
    Определяем затронутые системы и данные, оцениваем последствия инцидента. Атрибуция — по возможности, с честной оценкой достоверности.
  • Отчёт и рекомендации
    Готовим отчёт с описанием шагов и результатов, оценкой последствий и рекомендациями по устранению и предотвращению повторных инцидентов.
meta

Что бует в отчете

 

Документ, по которому можно принимать решения — и техническому, и управленческому уровню, — с материалами, пригодными для передачи регуляторам и правоохранительным органам.

Шаги и результаты расследования

Описание проведённых работ и полученных результатов.

Восстановленная хронология

Таймлайн атаки, привязанный к конкретным артефактам.

Вектор, инструменты и техники

Точка входа и действия атакующего в терминах MITRE ATT&CK.

Масштаб и затронутые данные

Какие системы и данные скомпрометированы, признаки вывода данных.

Оценка последствий

Влияние инцидента на бизнес и инфраструктуру.

Рекомендации

Устранение выявленных недостатков и предотвращение повторных инцидентов.

Шаги и результаты расследования

Описание проведённых работ и полученных результатов.

Восстановленная хронология

Таймлайн атаки, привязанный к конкретным артефактам.

Вектор, инструменты и техники

Точка входа и действия атакующего в терминах MITRE ATT&CK.

Масштаб и затронутые данные

Какие системы и данные скомпрометированы, признаки вывода данных.

Оценка последствий

Влияние инцидента на бизнес и инфраструктуру.

Рекомендации

Устранение выявленных недостатков и предотвращение повторных инцидентов.

DFIR, Compromise Assessment или IRR

 

Три близкие услуги решают разные задачи. Ниже сравнительная таблица — когда что заказывать.

 

 Compromise AssessmentDFIR (форензика)IRR (ретейнер)
КогдаПроактивно, без известного инцидентаРеактивно, инцидент уже известенЗаранее, как готовность по договору
Вопрос«Скомпрометированы ли мы уже?»«Что именно произошло в инциденте?»«Кто и как быстро отреагирует, когда случится?»
ТриггерПлан, M&A, подрядчики, подозренияОбнаруженная атака или утечкаПодписывается до инцидента
ОхватВся среда, ретроспективноКонкретный инцидент, вглубьСоглашение + банк часов
РезультатЗаключение: есть/нет следовОтчёт о расследовании инцидентаГарантия реагирования (SLA)
Заказывать, еслиХотите убедиться, что вас не взломалиВас взломали — нужно разобратьсяХотите быть готовы заранее

Нам доверяют

img_3 1

Ваша проблема — наше решение

check