Сообщить об инциденте
Сообщить об инциденте
Главная
Расследование инцидентов

Расследование инцидентов

Устанавливаем причины инцидента ИБ, локализуем атаку, помогаем восстановить инфраструктуру и повысить её защищённость
Запрос на услугу

Расследование инцидентов в SOC

В SOC ПМ ежедневно обрабатывается полтора миллиона событий информационной безопасности, поступающих от различных систем и устройств: IDS, IPS, межсетевых экранов, сканеров состояния защищённости, антивирусов, сетевых устройств. После автоматизированной обработки аналитики компании вручную исследуют около 200 подозрительных событий, которые могут являться потенциальными инцидентами ИБ. 

Инцидент информационной безопасности — негативное событие с финансовыми, правовыми и репутационными последствиями для объекта компьютерной атаки. Чтобы эффективно противостоять злоумышленникам, организации необходимо реагировать на каждый инцидент ИБ.  

5 этапов расследования инцидента ИБ

5

Недопущение повторения

После анализа результатов расследования компьютерного инцидента мы даём рекомендации по изменению настройки и состава средств защиты информации, которые могут предотвратить повторение инцидента в будущем или закрывают наиболее критичный вектор атак.
4

Ликвидация последствий

После сбора информации об инциденте, заказчик может запускать процессы восстановления после инцидентов ИБ. Если таких процессов нет, мы поможем восстановить работоспособность затронутых атакой информационных систем и ресурсов.
3

Сбор доказательств

На этом этапе мы находим и документируем любые сведения, связанные с инцидентом, чтобы определить что и когда произошло, источник и объект атаки, цели и мотивацию атакующего, а также перечень использованных методов, уязвимостей и инструментов.
2

Сдерживание

Главная задача после обнаружения инцидента — не допустить компрометации данных и снизить влияние на бизнес-процессы. Для этого атакованный узел локализуется и блокируется вредоносная активность.
1

Выявление инцидента информационной безопасности

Инцидент ИБ может обнаружить дежурная смена центра мониторинга или непосредственно владелец ресурса, если в его информационной системе обнаружена подозрительная активность. Мы взаимодействуем с ведомственными и корпоративными центрами реагирования на кибератаки, и получаем информацию об угрозах и методах противодействия в реальном времени.

Результаты работ по расследованию инцидента ИБ

  • Заключение по результатам расследования инцидента
  • Документированная информация об инциденте и собранные доказательства
  • Результаты анализа причин, развития и последствий инцидента, предположения о виновных лицах
  • Рекомендации по недопущению подобных инцидентов в будущем