Реагирование на инциденты

Оперативное реагирование на инциденты от международных экспертов

Круглосуточное реагирование на инциденты
+7 495 984-33-64

Обзор сервиса

Мы устраняем инциденты
любого масштаба
и уровня сложности
Команда экспертов Group-IB по реагированию на инциденты оказывает поддержку клиентам по всему миру. За счет тщательного анализа действий атакующих мы локализуем даже самые сложные инциденты и восстанавливаем инфраструктуру организации в кратчайшие сроки.
Программы-вымогатели
Компрометация учетных записей
Кража данных и денег
Вредоносные программы
Криптомошенничество
Целевые атаки
Фишинг и скам
ВПО и ботсети
APT
Банковское мошенничество
Компрометация корпоративной электронной почты

Решения Group-IB признаны мировыми агентствами

Результаты работ по итогам реагирования
Остановка действий атакующих
Устранение злоумышленников из сети вашей организации и оперативное восстановление критически важных функций системы, позволяющее снизить ущерб
План восстановления
Сбор всех необходимых данных для составления списка индикаторов компрометации и написания правил детектирования угроз
Специальный отчет об инциденте для юридических целей
Составление специализированных отчетов по запросу для регуляторов, страховых компаний, правоохранительных органов и юридических фирм
Рекомендации
По итогам криминалистического анализа мы составляем подробный отчет, содержащий практические рекомендации по улучшению архитектуры безопасности и повышению уровня защищенности организации
Профиль злоумышленника
Наши специалисты исследуют схему атаки и описывают методы, использованные атакующими для закрепления и продвижения по системе
Круглосуточный мониторинг сети
После реагирования на инцидент команда CERT-GIB на протяжении двух недель отслеживает инфраструктуру клиента, помогая организации реализовать полученные рекомендации по устранению уязвимостей
Персонализированный подход

Благодаря богатому экспертному опыту, уникальным источникам данных и использованию передовых технологий команда Group-IB обладает исчерпывающими знаниями о вредоносном коде, тактиках злоумышленников и механизмах самых сложных атак.

На основе данных киберразведки мы анализируем действия злоумышленников и описываем всю цепочку атаки (kill chain), чтобы в итоге восстановить стабильность инфраструктуры и бизнес-процессов.
Узнать больше о Group-IB Threat Intelligence
Этапы реагирования
Этап 1 - Мониторинг в режиме 24/7 и локализация инцидента
arrow_drop_down

Отслеживание всех действий злоумышленников. Наша команда по реагированию на инциденты использует решение Group-IB Managed Extended Detection and Response (MXDR), обеспечивающее повышенный уровень защиты, оперативный сбор криминалистических данных и изоляцию скомпрометированных хостов, а также круглосуточный мониторинг и оповещение при поддержке Центра реагирования на инциденты ИБ – CERT-GIB.

Этап 2 - Разработка стратегии устранения последствий инцидента
arrow_drop_down

Криминалистический анализ энергозависимых и энергонезависимых данных, а также углубленное исследование ВПО позволяют команде Group-IB выявить используемые злоумышленниками методы, а также дать рекомендации по повышению уровня защищенности инфраструктуры и предотвращению повторных атак.

Этап 3 - Углубленное криминалистическое исследование и анализ ВПО
arrow_drop_down

Восстановление хронологии атаки на основе углубленного криминалистического исследования и анализа ВПО позволяет команде Group-IB обнаружить уязвимости в системах детектирования и инфраструктуре организации, чтобы разработать оптимальную стратегию восстановления инфраструктуры для технических специалистов.

Отслеживание всех действий злоумышленников. Наша команда по реагированию на инциденты использует решение Group-IB Managed Extended Detection and Response (MXDR), обеспечивающее повышенный уровень защиты, оперативный сбор криминалистических данных и изоляцию скомпрометированных хостов, а также круглосуточный мониторинг и оповещение при поддержке Центра реагирования на инциденты ИБ – CERT-GIB.

Криминалистический анализ энергозависимых и энергонезависимых данных, а также углубленное исследование ВПО позволяют команде Group-IB выявить используемые злоумышленниками методы, а также дать рекомендации по повышению уровня защищенности инфраструктуры и предотвращению повторных атак.

Восстановление хронологии атаки на основе углубленного криминалистического исследования и анализа ВПО позволяет команде Group-IB обнаружить уязвимости в системах детектирования и инфраструктуре организации, чтобы разработать оптимальную стратегию восстановления инфраструктуры для технических специалистов.

Реагирование на инциденты по подписке
Перейти
Услуга позволяет получить помощь в устранении инцидента в течение нескольких часов и избежать промедлений в случае возникновения непредвиденной атаки, когда счет идет на секунды.
Преимущества подписки:
  • Предварительно согласованные работы по реагированию на инциденты, позволяющие сократить скорость реагирования до нескольких часов
  • Специальные условия на дополнительные часы реагирования от экспертов, знающих ИТ-инфраструктуру вашей компании
  • Поддержка 24/7 от центра реагирования на инциденты информационной безопасности — CERT-GIB
  • Моментальное начало процедуры реагирования на инцидент без затрат времени на согласование документов
  • Гибкие условия подписки, позволяющие перенести неиспользованные часы подписки на широкий спектр услуг информационной безопасности

Если ваша компания подверглась кибератаке важно как можно скорее обратиться к
экспертам по реагированию на инциденты

Локализация текущих инцидентов

Профессиональное и своевременное реагирование на инцидент позволяет получить четкое представление о его масштабе, а также разработать необходимые меры для локализации угрозы и предотвращения дополнительного ущерба

Восстановление после инцидента

Глубокое понимание природы инцидента на основе корректного криминалистического расследования и анализа вредоносного ПО помогает выработать эффективную стратегию по устранению последствий и восстановлению инфраструктуры

Предотвращение повторных инцидентов

Реконструкция действий атакующих позволяет выявить уязвимости затронутых систем и повысить общий уровень защищенности организации благодаря улучшению механизмов обнаружения и предотвращения угроз

Сообщить об инциденте

Мы используем самые актуальные данные
о ландшафте угроз

Третий год подряд управляемые операторами атаки программ-вымогателей остаются наиболее распространенным и опасным типом киберугроз.

На основе исследования данных киберразведки команда Group-IB выявляет инструменты и техники, которые чаще всего используют участники партнерских программ шифровальщиков, и применяет эти знания в ходе каждого реагирования на инцидент.

Матрица MITRE ATT&CK® для атак программ-вымогателей в 2021–2022 гг.

Подробнее о реагировании на атаки шифровальщиков:

90%

компаний не устраивает их текущая скорость реагирования

39%

компаний сталкиваются с повторными инцидентами, если реагирование было проведено некорректно

Почему компании
выбирают Group-IB

https://www.group-ib.ru/wp-content/uploads/advantage-focus-item-min.png
19 лет
опыта в области борьбы с киберпреступностью
Сервисы на основе данных киберразведки

для предотвращения кибератак, борьбы с онлайн-мошенничеством и защиты брендов

Глобальный масштаб деятельности

за счет распределенной международной команды, широкого географического охвата и высокой эффективности расследований

Экспертная команда по реагированию на инциденты

использует аналитическую информацию для разработки действенных стратегий безопасности

Передовые технологии

обеспечивают полную видимость ландшафта угроз

Эксперты Group-IB

Наши специалисты по реагированию на инциденты оперативно локализуют и расследуют атаки, определяют, как злоумышленники проникли в сеть компании, и предотвращают кражу денежных средств и чувствительных данных.

Квалификация специалистов Group-IB подтверждена международными сертификатами:
ACE
ACI
GCTI
MCFE
OSFTC
MIPT
BSI-ISO
В своей работе мы каждый день противостоим наиболее продвинутым хакерским группам. Мы в курсе самых актуальных тактик и техник атакующих, ведь у каждого специалиста Group-IB есть богатый опыт по реагированию на инциденты любого уровня сложности.
Олег Скулкин
Руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода

Олег более 10 лет работает в области цифровой криминалистики, реагирования на инциденты, киберразведки и исследования вредоносного кода. Его специализация — обнаружение новых методов, используемых злоумышленниками. Олег Скулкин — автор и соавтор нескольких книг, в том числе "Incident Response Techniques for Ransomware Attacks" и "Practical Mobile Forensics", обладатель международных сертификатов GCFA и GCTI.

Используйте проактивный
подход к безопасности

Когда злоумышленники проникают в сеть вашей организации, им требуется от нескольких недель до лишь нескольких часов для достижения поставленных целей. У многих организаций не получается вовремя выявить вредоносную активность, ведь атакующие непрерывно совершенствуют свои методы, инструменты и тактики.

Реагирование на инциденты:
Часто задаваемые вопросы

Реагирование на инциденты
следующие шаги

Почему компаниям рекомендуется привлекать сторонних экспертов для реагирования на инциденты?
arrow_drop_down
  • Специалисты отделов ИБ далеко не всегда обладают всеми необходимыми навыками реагирования. Тот факт, что ваша компания стала жертвой инцидента, указывает на то, что вашим ИБ-специалистам не удалось вовремя обнаружить и предотвратить атаку из-за нехватки необходимых навыков и опыта, без которых быстрое и эффективное противодействие современным угрозам невозможно.
  • Высока вероятность того, что у собственной команды ИБ нет опыта реагирования на сложные атаки. Для противодействия угрозам и выявления следов компрометации требуется опыт, полученный в ходе ежедневного реагирования на инциденты, а также знание актуальных тактик, методов и процедур, используемых злоумышленниками. В большинстве случаев у внутренних ИБ-команд нет возможности приобрести такие навыки и опыт.
  • Для компании, которая подверглась атаке один раз, велик риск повторных инцидентов. До начала активной фазы атаки хакеры находятся внутри инфраструктуры от трех дней до трех месяцев. За это время они могут не только украсть конфиденциальные данные, но и создать дополнительные точки входа в вашу инфраструктуру. Для обнаружения всех действий злоумышленников и предотвращения повторной компрометации требуются экспертные знания и большой опыт в цифровой криминалистике.
Почему недостаточно полагаться только на собственную команду ИБ?
arrow_drop_down
  • В случае выявления инцидента ИБ вам могут понадобиться дополнительные ресурсы для быстрого реагирования и поиска следов компрометации. Если компания подвергнется атаке, ваши специалисты, скорее всего, будут обеспечивать непрерывность бизнес-процессов, а не устанавливать причины инцидента.
  • Компаниям бывает сложно своими силами выявить и проконтролировать каждую угрозу, а также отследить хакеров до исходного скомпрометированного ресурса. Специалисты по цифровой криминалистике ежедневно выполняют эти процедуры, анализируя любые изменения в действиях и инструментах атакующих.
  • Собственная команда не всегда обладает необходимыми навыками и опытом для быстрого и эффективного реагирования на современные угрозы. Для противодействия атакам и выявления следов компрометации от специалистов требуется богатый опыт реагирования на инциденты и обширные знания об актуальных тактиках, методах и процедурах, используемых злоумышленниками. Помимо этого, для успеха необходима информация из широкого спектра источников в сочетании ​​с многолетним практическим опытом.
  • Для эффективного реагирования на инциденты требуются экспертные знания и навыки в области цифровой криминалистики и анализа вредоносного кода, а также умение не только установить факт компрометации, но и атрибутировать ее к конкретным злоумышленникам и их техникам.
Потребуется ли установка ПО для реагирования на инциденты силами Group-IB?
arrow_drop_down

Наши специалисты используют собственную разработку Group-IB — решение Managed XDR, которое обеспечивает эффективную защиту, быстрый сбор криминалистических данных и локализацию скомпрометированных хостов, а также круглосуточный мониторинг событий и уведомления благодаря специалистам CERT-GIB.

Мы устанавливаем агенты EDR в системах компании, и в течение двух недель после реагирования на инцидент команда CERT-GIB следит за инфраструктурой, что дает вашей ИТ-команде время на выполнение рекомендаций Group-IB по повышению уровня защищенности.

Сколько специалистов Group-IB участвует в реагировании на инцидент?
arrow_drop_down

Пока инцидент не завершится, с вами будет на связи наш менеджер по работе с клиентами. В зависимости от типа инцидента мы можем выделить не только специалиста по реагированию, но и специалиста по цифровой криминалистике, аналитика вредоносных программ и специалиста по киберразведке.

В среднем в реагировании на каждый инцидент участвуют два специалиста DFIR. Однако для реагирования на особо сложные инциденты мы выделяем до пяти экспертов.

Какими наградами отмечена деятельность Group-IB по реагированию на инциденты?
arrow_drop_down

Аналитическое агентство Forrester отметило Group-IB в числе 36 крупнейших компаний в области кибербезопасности, согласно отчету Now Tech: Global Cybersecurity Consulting Providers, Q3 2021.

В 2019 году аналитическое агентство Gartner присвоило Group-IB статус надежного поставщика услуг (Representative Vendor) в категории «Компьютерная криминалистика и реагирование на инциденты информационной безопасности».

Group-IB была названа крупнейшим и наиболее опытным поставщиком услуги Incident Response Retainer по версии компании Aite-Novarica Group согласно отчету Incident Response Retainer Services за 2022 год.