dark-logo

Форензика и расследование киберинцидентов

Восстанавливаем картину инцидента по цифровым следам — от первого проникновения до эксфильтрации — и фиксируем доказательства с соблюдением целостности.

FZ-187-head

Расследование без потери контекста и времени

Бесшовно с мониторингом

Расследование стартует там, где сработал SOC, — без потери контекста и времени на передачу между командами.

Готовность 24/7

Инцидент не ждёт рабочего дня. Дежурная линия принимает обращения в любое время.

Целостность доказательств

Сбор по криминалистическим правилам с самого начала. Фиксировать поздно, когда следы уже затёрты.

Актуальные угрозы

Опыт по реальным кейсам: шифровальщики, C2-фреймворки, вредоносное ПО в инфраструктуре.

Конфиденциальность

Работаем под NDA. Доступ к данным — минимально необходимый для расследования.

Форензик-готовность

Поможем заранее: настроим логирование и хранение так, чтобы будущее расследование вообще было возможным.

Бесшовно с мониторингом

Расследование стартует там, где сработал SOC, — без потери контекста и времени на передачу между командами.

Готовность 24/7

Инцидент не ждёт рабочего дня. Дежурная линия принимает обращения в любое время.

Целостность доказательств

Сбор по криминалистическим правилам с самого начала. Фиксировать поздно, когда следы уже затёрты.

Актуальные угрозы

Опыт по реальным кейсам: шифровальщики, C2-фреймворки, вредоносное ПО в инфраструктуре.

Конфиденциальность

Работаем под NDA. Доступ к данным — минимально необходимый для расследования.

Форензик-готовность

Поможем заранее: настроим логирование и хранение так, чтобы будущее расследование вообще было возможным.

Результат расследования

 

Не «лог работы», а документ, по которому можно принимать решения — и техническому, и управленческому уровню.

  • Технический отчёт
    Полная картина: вектор, хронология, действия атакующего, охват компрометации.
  • Резюме для руководства
    Суть, риски и решения — без технического жаргона.
  • Перечень индикаторов (IOC)
    Для блокировки и threat hunting в вашей инфраструктуре.
  • Восстановленная хронология
    Таймлайн событий, привязанный к конкретным артефактам.
  • Оценка ущерба и охвата
    Какие системы и данные затронуты, что вышло за периметр.
  • Рекомендации и hardening
    Что закрыть, чтобы инцидент не повторился по тому же сценарию.
etap3
  • Технический отчёт
    Полная картина: вектор, хронология, действия атакующего, охват компрометации.
  • Резюме для руководства
    Суть, риски и решения — без технического жаргона.
  • Перечень индикаторов (IOC)
    Для блокировки и threat hunting в вашей инфраструктуре.
  • Восстановленная хронология
    Таймлайн событий, привязанный к конкретным артефактам.
  • Оценка ущерба и охвата
    Какие системы и данные затронуты, что вышло за периметр.
  • Рекомендации и hardening
    Что закрыть, чтобы инцидент не повторился по тому же сценарию.
etap3

Когда подключают форензику

 

Форензику привлекают, когда нужно не просто остановить атаку, а понять её целиком и зафиксировать доказательства.

Шифровальщик

Данные зашифрованы, получено требование выкупа. Нужно установить вектор входа, охват и был ли вывод данных — до начала восстановления.

Утечка данных

Признаки кражи данных или их публикация. Нужно определить объём, источник и канал утечки.

Подозрение на компрометацию

Аномалии, которые не объясняются мониторингом: подозрительные процессы, учётные записи, исходящие соединения.

Действия инсайдера

Подозрение на сотрудника: вынос данных, саботаж, превышение прав доступа.

Подтверждённый инцидент

Срабатывание мониторинга переросло в инцидент и требует глубокого разбора и фиксации следов.

Внешние требования

Расследование нужно для регулятора, страховщика или сопровождения юридического процесса.

Шифровальщик

Данные зашифрованы, получено требование выкупа. Нужно установить вектор входа, охват и был ли вывод данных — до начала восстановления.

Утечка данных

Признаки кражи данных или их публикация. Нужно определить объём, источник и канал утечки.

Подозрение на компрометацию

Аномалии, которые не объясняются мониторингом: подозрительные процессы, учётные записи, исходящие соединения.

Действия инсайдера

Подозрение на сотрудника: вынос данных, саботаж, превышение прав доступа.

Подтверждённый инцидент

Срабатывание мониторинга переросло в инцидент и требует глубокого разбора и фиксации следов.

Внешние требования

Расследование нужно для регулятора, страховщика или сопровождения юридического процесса.

Методология расследования

 

Этапы, терминология и порядок действий опираются на признанные стандарты цифровой криминалистики и реагирования на инциденты.

  • NIST SP 800-86
    Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.
  • NIST SP 800-61
    Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.
  • ISO/IEC 27037
    Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.
  • ISO/IEC 27042
    Анализ и интерпретация цифровых доказательств.
  • MITRE ATT&CK
    Привязка хронологии к тактикам и техникам атакующего.
meta
  • NIST SP 800-86
    Интеграция форензики в реагирование: сбор → исследование → анализ → отчёт.
  • NIST SP 800-61
    Жизненный цикл реагирования на инцидент: обнаружение, сдерживание, восстановление, выводы.
  • ISO/IEC 27037
    Идентификация, сбор, получение и сохранение цифровых доказательств; цепочка владения.
  • ISO/IEC 27042
    Анализ и интерпретация цифровых доказательств.
  • MITRE ATT&CK
    Привязка хронологии к тактикам и техникам атакующего.
meta

01 Реагирование и сдерживание

Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».

02 Криминалистический сбор

Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.

03 Анализ артефактов

Исследуем диски, память, трафик и журналы; выделяем индикаторы компрометации и инструменты атакующего.

04 Реконструкция хронологии

Сводим разрозненные следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.

05 Оценка ущерба и атрибуция

Определяем охват компрометации и затронутые данные. Атрибуция — по возможности, с честной оценкой достоверности, а не как обязательное обещание.

06 Отчёт и рекомендации

Передаём отчёт, перечень IOC и план устранения. Собранные материалы пригодны для передачи правоохранительным органам.

01 Реагирование и сдерживание

Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».

02 Криминалистический сбор

Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.

03 Анализ артефактов

Исследуем диски, память, трафик и журналы; выделяем индикаторы компрометации и инструменты атакующего.

04 Реконструкция хронологии

Сводим разрозненные следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.

05 Оценка ущерба и атрибуция

Определяем охват компрометации и затронутые данные. Атрибуция — по возможности, с честной оценкой достоверности, а не как обязательное обещание.

06 Отчёт и рекомендации

Передаём отчёт, перечень IOC и план устранения. Собранные материалы пригодны для передачи правоохранительным органам.

Источники следов

 

Атака оставляет следы на разных уровнях. Мы собираем и сопоставляем их, чтобы картина была полной, а не фрагментарной.

Хосты и носители

Образы дисков, файловая система, артефакты ОС, реестр, восстановление удалённых данных.

Оперативная память

Дампы RAM, инъекции, бесфайловое ВПО, ключи и активные сессии.

Сетевой трафик

PCAP, C2-каналы, эксфильтрация, боковое перемещение.

Вредоносное ПО

Статический и динамический анализ, распаковка, поведение, выделение IOC.

Журналы и события

Корреляция логов, восстановление хронологии, телеметрия EDR и SIEM.

Облако и почта

Облачные журналы, компрометация почты (BEC), доступы и токены.

Учётные записи

Компрометация и эскалация привилегий, следы аутентификации.

Мобильные устройства

Извлечение и анализ артефактов мобильных устройств — по применимости.

Хосты и носители

Образы дисков, файловая система, артефакты ОС, реестр, восстановление удалённых данных.

Оперативная память

Дампы RAM, инъекции, бесфайловое ВПО, ключи и активные сессии.

Сетевой трафик

PCAP, C2-каналы, эксфильтрация, боковое перемещение.

Вредоносное ПО

Статический и динамический анализ, распаковка, поведение, выделение IOC.

Журналы и события

Корреляция логов, восстановление хронологии, телеметрия EDR и SIEM.

Облако и почта

Облачные журналы, компрометация почты (BEC), доступы и токены.

Учётные записи

Компрометация и эскалация привилегий, следы аутентификации.

Мобильные устройства

Извлечение и анализ артефактов мобильных устройств — по применимости.

img_3 1

Ваша проблема — наше решение

check