Сообщить об инциденте
Прозрачность по всей группе компаний
Проверяем инфраструктуру дочерних и аффилированных организаций — чтобы быть уверенными, что цепочка поставок и доверенные периметры не скомпрометированы
Подтверждение, что последствия инцидента полностью устранены
Если атака имела место, мы проверяем, что злоумышленник не оставил бэкдоров (закреплений), и инфраструктура восстановлена корректно
Чёткий ответ: был ли взлом
Устанавливаем, происходила ли компрометация в прошлом и присутствуют ли признаки активного вторжения на текущий момент
Понимание, были ли проэксплуатированы уязвимости
Мы подтверждаем, что выявленные критические и трендовые уязвимости не эксплуатировались, а потенциальные векторы атак остались нереализованными
Узнайте, какие секреты хранит ваша инфраструктура
Когда следует проводить анализ возможной компрометации?
После инцидента кибербезопасности
Даже если атака считается устраненной — для проверки, что злоумышленник действительно не находится в инфраструктуре
При подозрении на скрытую активность
Аномалии, срабатывания СЗИ, появление аномалий в сетевом трафике и т. д.
После масштабных изменений в инфраструктуре
Миграции, слияния, интеграции новых компаний или подрядчиков
Перед аудитами и проверками регуляторов
Для подтверждения отсутствия компрометации и снижения регуляторных рисков
В рамках проактивной киберзащиты
Как элемент зрелой стратегии ИБ — «проверка, что всё действительно чисто»
Анализ учетных записей и привилегий
Выявление скомпрометированных аккаунтов, избыточных прав и следов их использования злоумышленником
Проверка средств удаленного доступа
Анализ VPN, RDP, SSH и других каналов на наличие несанкционированного или скрытого доступа
Анализ облачных сред и SaaS-сервисов
Проверка доступа, конфигураций и журналов активности на предмет компрометации и злоупотребления учетными данными
Поиск артефактов закрепления и перемещения внутри сети
Выявление подозрительных соединений, попыток lateral movement и управления инфраструктурой извне
Проверка серверов, рабочих станций, сетевого оборудования и хостов виртуализации
Поиск следов выполнения вредоносного кода, закрепления злоумышленника (бэкдоров) и аномального поведения систем, а также подозрительных событий, не переданных в коллектор организации
Анализ доменной инфраструктуры (AD)
Проверка признаков компрометации учетных записей, эскалации привилегий и несанкционированных изменений
В зависимости от архитектуры инфраструктуры и задач проект анализа включает:
Область охвата Compromise Assessment
Этапы оказания услуги
1
Установочная встреча
Выявление границ работ, особенностей инфраструктуры и ее управляемости. Определение перечня используемых в инфраструктуре средств защиты (хостовых и сетевых)
2
Сбор данных
Запуск программ для сбора данных на конечных точках (Windows, Linux, macOS), хостах виртуализации (Hyper-V, ESXi, а также российские решения). Экспорт журналов событий с сетевого оборудования и VPN-шлюзов, из консолей управления антивирусным ПО и из SIEM-систем, а также из иных средств защиты
3
Исследование собранных данных экспертами
Анализ и корреляция данных из различных источников для выявления признаков компрометации и скрытой активности злоумышленника
4
Уточнение легитимности тех или иных событий
Отделение легитимной активности администраторов, сервисных учетных записей и автоматических процессов от действий злоумышленника
5
Формирование отчёта с рекомендациями
Подготовка структурированного отчёта с обоснованными выводами и практическими рекомендациями по устранению выявленных рисков, а также по дальнейшим шагам
Что входит в отчёт?
Что входит в отчёт?
Перечень исследованных объектов (систем, источников событий)
Выявленные следы активности, не признанной легитимной, их описание с привязкой во времени
Выявленные вредоносные и нежелательные программы, их описание
Выявленные в ходе работ несоответствия в части конфигураций
Выявленные опасные практики в части удаленной работы сотрудников
Рекомендации по части устранения выявленных недостатков и по дальнейшим действиям
Обоснованный вывод: была ли компрометация
Описание обнаруженных следов и векторов атаки (если применимо)
Результат СICADA8 Compromise Assessment
Оценка текущего состояния безопасности
Рекомендации по устранению выявленных рисков и несоответствий
Уверенность в том, что инфраструктура чиста — или есть чёткий план дальнейших действий
Работаем с незавершенными инцидентами, когда нет очевидных IoC
Анализ проводится экспертами, а не автоматическим сканером
Коррелируем данные из разных источников, включая те, которые обычно остаются вне SIEM
Ориентируемся на реально используемые техники атак, а не только на сигнатуры и алерты СЗИ
Почему CICADA8?
Навести порядок в цифровом хаосе
Нажимая на кнопку «Зарегистрироваться», я выражаю свое согласие на обработку персональных данных
Компания
© 2025 Cicada8. Все права защищены