Для полной картины инцидента и минимизации последствий мы проводим расследование с применением методов цифровой криминалистики: собираем и криминалистически корректно фиксируем доказательства, восстанавливаем хронологию атаки, определяем вектор входа, инструменты и техники злоумышленника и масштаб компрометации.
Расследование инцидентов ИБ методами цифровой криминалистики

От доказательств — к полной картине инцидента
Расследование начинается с корректной фиксации следов и заканчивается ответом на вопросы: что произошло, как далеко зашёл атакующий и что делать дальше.
Фиксация доказательств
Криминалистически корректный сбор и фиксация цифровых доказательств с сохранением целостности и цепочки владения.
Анализ артефактов
Анализ образов дисков, дампов оперативной памяти, журналов событий и сетевого трафика.
Восстановление картины
Полная хронология атаки, вектор первоначального проникновения, инструменты и техники, масштаб компрометации.
Фиксация доказательств
Криминалистически корректный сбор и фиксация цифровых доказательств с сохранением целостности и цепочки владения.
Анализ артефактов
Анализ образов дисков, дампов оперативной памяти, журналов событий и сетевого трафика.
Восстановление картины
Полная хронология атаки, вектор первоначального проникновения, инструменты и техники, масштаб компрометации.
Ответы, которые даёт расследование
Вектор проникновения
Как именно атакующий попал внутрь — точка входа и первоначальный доступ.
Инструменты и техники
Чем действовал злоумышленник — ВПО, инструменты и техники (по MITRE ATT&CK).
Масштаб компрометации
Насколько глубоко зашёл атакующий и какие системы затронуты.
Затронутые данные
Какие данные скомпрометированы и есть ли признаки их вывода за периметр.
Вектор проникновения
Как именно атакующий попал внутрь — точка входа и первоначальный доступ.
Инструменты и техники
Чем действовал злоумышленник — ВПО, инструменты и техники (по MITRE ATT&CK).
Масштаб компрометации
Насколько глубоко зашёл атакующий и какие системы затронуты.
Затронутые данные
Какие данные скомпрометированы и есть ли признаки их вывода за периметр.
Как проводится расследование
Этапы, терминология и порядок действий опираются на признанные стандарты цифровой криминалистики и реагирования на инциденты.
NIST SP 800-61
Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.
NIST SP 800-86
Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.
ISO/IEC 27037
Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.
ISO/IEC 27042
Анализ и интерпретация цифровых доказательств.
ISO/IEC 27035
Управление инцидентами информационной безопасности.
SANS PICERL
Шестиэтапный процесс реагирования на инциденты.
MITRE ATT&CK
Привязка действий атакующего к тактикам и техникам.
OWASP · Top 10 / WSTG
Справочник по веб-атакам — когда вектор входа связан с веб-приложением.
NIST SP 800-61
Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.
NIST SP 800-86
Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.
ISO/IEC 27037
Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.
ISO/IEC 27042
Анализ и интерпретация цифровых доказательств.
ISO/IEC 27035
Управление инцидентами информационной безопасности.
SANS PICERL
Шестиэтапный процесс реагирования на инциденты.
MITRE ATT&CK
Привязка действий атакующего к тактикам и техникам.
OWASP · Top 10 / WSTG
Справочник по веб-атакам — когда вектор входа связан с веб-приложением.
Этапы расследования
|
|
|
|
|
|

|
|
|
|
|
|

Что бует в отчете
Документ, по которому можно принимать решения — и техническому, и управленческому уровню, — с материалами, пригодными для передачи регуляторам и правоохранительным органам.
Шаги и результаты расследования
Описание проведённых работ и полученных результатов.
Восстановленная хронология
Таймлайн атаки, привязанный к конкретным артефактам.
Вектор, инструменты и техники
Точка входа и действия атакующего в терминах MITRE ATT&CK.
Масштаб и затронутые данные
Какие системы и данные скомпрометированы, признаки вывода данных.
Оценка последствий
Влияние инцидента на бизнес и инфраструктуру.
Рекомендации
Устранение выявленных недостатков и предотвращение повторных инцидентов.
Шаги и результаты расследования
Описание проведённых работ и полученных результатов.
Восстановленная хронология
Таймлайн атаки, привязанный к конкретным артефактам.
Вектор, инструменты и техники
Точка входа и действия атакующего в терминах MITRE ATT&CK.
Масштаб и затронутые данные
Какие системы и данные скомпрометированы, признаки вывода данных.
Оценка последствий
Влияние инцидента на бизнес и инфраструктуру.
Рекомендации
Устранение выявленных недостатков и предотвращение повторных инцидентов.
DFIR, Compromise Assessment или IRR
Три близкие услуги решают разные задачи. Ниже сравнительная таблица — когда что заказывать.
| Compromise Assessment | DFIR (форензика) | IRR (ретейнер) | |
| Когда | Проактивно, без известного инцидента | Реактивно, инцидент уже известен | Заранее, как готовность по договору |
| Вопрос | «Скомпрометированы ли мы уже?» | «Что именно произошло в инциденте?» | «Кто и как быстро отреагирует, когда случится?» |
| Триггер | План, M&A, подрядчики, подозрения | Обнаруженная атака или утечка | Подписывается до инцидента |
| Охват | Вся среда, ретроспективно | Конкретный инцидент, вглубь | Соглашение + банк часов |
| Результат | Заключение: есть/нет следов | Отчёт о расследовании инцидента | Гарантия реагирования (SLA) |
| Заказывать, если | Хотите убедиться, что вас не взломали | Вас взломали — нужно разобраться | Хотите быть готовы заранее |
Нам доверяют
