Восстанавливаем картину инцидента по цифровым следам — от первого проникновения до эксфильтрации — и фиксируем доказательства с соблюдением целостности.
Форензика и расследование киберинцидентов

Расследование без потери контекста и времени
Бесшовно с мониторингом
Расследование стартует там, где сработал SOC, — без потери контекста и времени на передачу между командами.
Готовность 24/7
Инцидент не ждёт рабочего дня. Дежурная линия принимает обращения в любое время.
Целостность доказательств
Сбор по криминалистическим правилам с самого начала. Фиксировать поздно, когда следы уже затёрты.
Актуальные угрозы
Опыт по реальным кейсам: шифровальщики, C2-фреймворки, вредоносное ПО в инфраструктуре.
Конфиденциальность
Работаем под NDA. Доступ к данным — минимально необходимый для расследования.
Форензик-готовность
Поможем заранее: настроим логирование и хранение так, чтобы будущее расследование вообще было возможным.
Бесшовно с мониторингом
Расследование стартует там, где сработал SOC, — без потери контекста и времени на передачу между командами.
Готовность 24/7
Инцидент не ждёт рабочего дня. Дежурная линия принимает обращения в любое время.
Целостность доказательств
Сбор по криминалистическим правилам с самого начала. Фиксировать поздно, когда следы уже затёрты.
Актуальные угрозы
Опыт по реальным кейсам: шифровальщики, C2-фреймворки, вредоносное ПО в инфраструктуре.
Конфиденциальность
Работаем под NDA. Доступ к данным — минимально необходимый для расследования.
Форензик-готовность
Поможем заранее: настроим логирование и хранение так, чтобы будущее расследование вообще было возможным.
Результат расследования
Не «лог работы», а документ, по которому можно принимать решения — и техническому, и управленческому уровню.
|
|
|
|
|
|

|
|
|
|
|
|

Когда подключают форензику
Форензику привлекают, когда нужно не просто остановить атаку, а понять её целиком и зафиксировать доказательства.
Шифровальщик
Данные зашифрованы, получено требование выкупа. Нужно установить вектор входа, охват и был ли вывод данных — до начала восстановления.
Утечка данных
Признаки кражи данных или их публикация. Нужно определить объём, источник и канал утечки.
Подозрение на компрометацию
Аномалии, которые не объясняются мониторингом: подозрительные процессы, учётные записи, исходящие соединения.
Действия инсайдера
Подозрение на сотрудника: вынос данных, саботаж, превышение прав доступа.
Подтверждённый инцидент
Срабатывание мониторинга переросло в инцидент и требует глубокого разбора и фиксации следов.
Внешние требования
Расследование нужно для регулятора, страховщика или сопровождения юридического процесса.
Шифровальщик
Данные зашифрованы, получено требование выкупа. Нужно установить вектор входа, охват и был ли вывод данных — до начала восстановления.
Утечка данных
Признаки кражи данных или их публикация. Нужно определить объём, источник и канал утечки.
Подозрение на компрометацию
Аномалии, которые не объясняются мониторингом: подозрительные процессы, учётные записи, исходящие соединения.
Действия инсайдера
Подозрение на сотрудника: вынос данных, саботаж, превышение прав доступа.
Подтверждённый инцидент
Срабатывание мониторинга переросло в инцидент и требует глубокого разбора и фиксации следов.
Внешние требования
Расследование нужно для регулятора, страховщика или сопровождения юридического процесса.
Методология расследования
Этапы, терминология и порядок действий опираются на признанные стандарты цифровой криминалистики и реагирования на инциденты.
|
|
|
|
|

|
|
|
|
|

01 Реагирование и сдерживание
Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».
02 Криминалистический сбор
Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.
03 Анализ артефактов
Исследуем диски, память, трафик и журналы; выделяем индикаторы компрометации и инструменты атакующего.
04 Реконструкция хронологии
Сводим разрозненные следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.
05 Оценка ущерба и атрибуция
Определяем охват компрометации и затронутые данные. Атрибуция — по возможности, с честной оценкой достоверности, а не как обязательное обещание.
06 Отчёт и рекомендации
Передаём отчёт, перечень IOC и план устранения. Собранные материалы пригодны для передачи правоохранительным органам.
01 Реагирование и сдерживание
Подключаемся быстро, помогаем ограничить распространение и сохранить рабочее состояние систем — не уничтожая следы преждевременной «очисткой».
02 Криминалистический сбор
Снимаем образы дисков и памяти forensically sound: блокировка записи, контрольное хэширование, фиксация цепочки владения chain of custody.
03 Анализ артефактов
Исследуем диски, память, трафик и журналы; выделяем индикаторы компрометации и инструменты атакующего.
04 Реконструкция хронологии
Сводим разрозненные следы в единую цепочку: вход → закрепление → перемещение → действия → эксфильтрация.
05 Оценка ущерба и атрибуция
Определяем охват компрометации и затронутые данные. Атрибуция — по возможности, с честной оценкой достоверности, а не как обязательное обещание.
06 Отчёт и рекомендации
Передаём отчёт, перечень IOC и план устранения. Собранные материалы пригодны для передачи правоохранительным органам.
Источники следов
Атака оставляет следы на разных уровнях. Мы собираем и сопоставляем их, чтобы картина была полной, а не фрагментарной.
Хосты и носители
Образы дисков, файловая система, артефакты ОС, реестр, восстановление удалённых данных.
Оперативная память
Дампы RAM, инъекции, бесфайловое ВПО, ключи и активные сессии.
Сетевой трафик
PCAP, C2-каналы, эксфильтрация, боковое перемещение.
Вредоносное ПО
Статический и динамический анализ, распаковка, поведение, выделение IOC.
Журналы и события
Корреляция логов, восстановление хронологии, телеметрия EDR и SIEM.
Облако и почта
Облачные журналы, компрометация почты (BEC), доступы и токены.
Учётные записи
Компрометация и эскалация привилегий, следы аутентификации.
Мобильные устройства
Извлечение и анализ артефактов мобильных устройств — по применимости.
Хосты и носители
Образы дисков, файловая система, артефакты ОС, реестр, восстановление удалённых данных.
Оперативная память
Дампы RAM, инъекции, бесфайловое ВПО, ключи и активные сессии.
Сетевой трафик
PCAP, C2-каналы, эксфильтрация, боковое перемещение.
Вредоносное ПО
Статический и динамический анализ, распаковка, поведение, выделение IOC.
Журналы и события
Корреляция логов, восстановление хронологии, телеметрия EDR и SIEM.
Облако и почта
Облачные журналы, компрометация почты (BEC), доступы и токены.
Учётные записи
Компрометация и эскалация привилегий, следы аутентификации.
Мобильные устройства
Извлечение и анализ артефактов мобильных устройств — по применимости.
