Расследование инцидентов кибербезопасности

Основная цель услуги

Основной целью услуги является установление причин возникновения инцидента, исследование способов проникновения злоумышленника в систему, выявление скомпрометированных ресурсов, предотвращение дальнейшего развития инцидента, а также подготовка рекомендаций по недопущению повторного возникновения подобных инцидентов.

Инциденты, подлежащие проверке и анализу

  • Несанкционированный доступ к информационной системе
  • Компрометация учетных записей пользователей
  • Заражение вредоносными программами и вирусами
  • Фишинговые сообщения и вредоносные ссылки
  • Взлом веб-ресурса или сервера
  • Кража или утечка данных
  • Изменение, шифрование или удаление файлов
  • Подозрительная активность во внутренней сети
  • Несанкционированное повышение привилегий учетной записи пользователя
  • Атаки, направленные на нарушение работы сервисов
  • Вредоносные IP-адреса, домены и другие индикаторы компрометации

Процесс расследования инцидента

01

Выявление инцидента

Собираются первичные сведения о подозрительной активности, признаках атаки и скомпрометированных системах.

02

Сбор цифровых доказательств

Системные журналы, файлы, сетевые данные и другие цифровые доказательства собираются и сохраняются безопасным способом.

03

Анализ и восстановление хронологии

Определяются начальный и последующие этапы атаки, использованные методы, а также масштаб ее воздействия.

04

Восстановление и защита

Определяются меры по локализации инцидента, восстановлению работы систем и предотвращению повторных атак.

Содержание итогового отчета

Краткое описание инцидента

Время возникновения и этапы развития инцидента

Источник атаки и использованные методы

Затронутые системы, устройства и учетные записи

Выявленные вредоносные файлы и индикаторы

Возможные случаи утечки данных

Выполненные оперативные меры

Рекомендации по восстановлению работы систем

Меры по предотвращению повторного инцидента

Практические рекомендации

По результатам расследования предоставляются практические рекомендации по блокированию вредоносных соединений, смене паролей скомпрометированных учетных записей, удалению вредоносных файлов, устранению уязвимостей, обновлению систем и усилению настроек безопасности.

Результаты расследования

По завершении расследования предоставляется подробная информация о причинах возникновения инцидента, этапах развития атаки, затронутых ресурсах, выявленных индикаторах компрометации, а также рекомендации по безопасному восстановлению системы.