CICADA8 DFIR

Digital Forensics & Incident Response

Цифровая форензика и реагирование на инциденты.

Всё, что нужно знать об инциденте
Понимание причин и хода инцидента
Устанавливаем, как именно злоумышленник проник в инфраструктуру, что позволило ему закрепиться, повысить привилегии, и как развивалась атака во времени
Уверенность в том, что угроза устранена
Подтверждаем факт отсутствия злоумышленника в инфраструктуре, скрытых механизмов доступа и следов повторной компрометации
Доказательная база для официальных процедур
Предоставляем технически обоснованные материалы для передачи в правоохранительные органы, страховые компании и регуляторные органы
Рекомендации по предотвращению повторного инцидента
Предлагаем конкретные меры по усилению защиты, устранению уязвимостей и корректировке процессов реагирования
Как происходит
1
Обнаружение и оценка
Выявление активной атаки в реальном времени (подтверждение, определение масштаба атаки и т. д.)
2
Сдерживание угрозы
Разработка первичных рекомендаций для остановки атаки, предотвращения дальнейшего ущерба
3
Ликвидация и восстановление
Удаление вредоносного кода и закладок, восстановление данных из резервных копий, возврат систем в рабочее состояние и т. д.
4
Минимизация ущерба
Снижение финансовых, репутационных и операционных потерь
5
Анализ
Исследование собранных данных с целью понимания причин, хода инцидента, его последствий
6
Рекомендации
Предотвращение подобных инцидентов в будущем
2

INCIDENT RESPONSE

Цель
Нейтрализовать угрозу
Временные рамки
Realtime
Фокус
Действие
Как происходит
1
Сбор доказательств
Сохранение данных (логи, дампы памяти, образы дисков) с соблюдением юридических процедур (chain of custody)
2
Анализ произошедшего
Реконструкция событий, глубокое изучение данных — когда, при каких обстоятельствах и что произошло
3
Подготовка доказательств
Документирование доказательств для судебных разбирательств или страховых кейсов
4
Профилактика
Конкретные рекомендации по устранению уязвимостей, корректировки бизнес-процессов, устранению любых выявленных недостатков
1

Digital Forensics

Цель
Изучить причины произошедшего и собрать доказательства
Временные рамки
Postmortem
Фокус
Анализ
Когда важно знать, что произошло — и что делать дальше
Направления работ CICADA8 DFIR
Хищение данных
Фишинг и кража учетных данных
Компрометация учетных записей
Инсайдерские угрозы
Промышленный шпионаж
Атаки с вредоносным ПО
Шифровальщики
Стилеры
Бэкдоры
Бот-сети для DDoS-атак
Атаки через подрядчиков
Финансовые преступления
Хищение криптовалюты
Мошенничество через онлайн-банкинг
Атаки на банкоматы
Внедрение в электронную переписку (BEC-атаки)
Этапы оказания услуги DFIR
1

Установочная встреча

Определяем цели, формат взаимодействия и согласовываем скоуп работ
2

Сбор данных

Извлекаем и фиксируем цифровые артефакты: логи, триажи (наборы криминалистических артефактов), дампы памяти, сетевой трафик, образы дисков и другие источники информации
3

Исследование данных

Проводим анализ собранных данных: от восстановления хронологии событий до выявления аномалий и следов (признаков) атак
4

Уточнение контекста

Совместно с командой заказчика определяем характер и значение выявленных событий с точки зрения кибербезопасности
5

Формирование отчёта и рекомендации

Подготавливаем структурированный отчёт с выводами и конкретными рекомендациями по улучшению кибербезопасности и предотвращению повторных инцидентов
Что входит в отчёт?
Финальная версия отчёта согласовывается и адаптируется под нужды заказчика (при необходимости передачи в правоохранительные органы, взаимодействия с регуляторами и т. д.)
Список исследованных систем и источников данных
Хронология инцидента
Результаты обратной разработки вредоносного ПО
Предпринятые меры по реагированию и их эффект
Индикаторы компрометации (IoC)
Рекомендации по повышению уровня кибербезопасности, в том числе меры по предотвращению повторных инцидентов
Охват исследования
DFIR-исследование охватывает всю критически важную ИТ-инфраструктуру
Рабочие станции и ноутбуки
Конечные точки, где чаще всего начинается или развивается атака
Серверы
Анализ артефактов операционных систем, журналов приложений и следов доступа
Гипервизоры
ESXi, Hyper-V и отечественные платформы виртуализации
Сетевое оборудование
Включая ASA, NetScaler и другие шлюзы и балансировщики
Межсетевые экраны (NGFW)
Проверка правил, журналов, сигнатур и обходов
Облачная инфраструктура
Объекты в публичных и гибридных облаках: логи доступа, журналы действий, сетевые события
Сторонние сервисы
E-mail-платформы, файловые хранилища, SaaS — всё, где может происходить атака или утечка
Будьте готовы в любой момент
Подписка на реагирование CICADA8
Подписка на реагирование — это возможность мгновенного реагирования на инцидент без лишнего документооборота и с уже подготовленной позиции. По сути, это подписка на услуги CICADA8, которую можно использовать в любой момент.
Как происходит
1
Эксперты проводят предварительную оценку инфраструктуры
2
Подписываются все необходимые документы
3
Подписка активирована
Трансформация угроз
2025
Атаки через доверительные отношения становятся обыденностью, наличие доступа к ИТ-подрядчику перестает быть чем-то эксклюзивным, атаки становятся «грубее».
«Легкое» повышение привилегий через типовые ошибки конфигурации.
Использование ИИ для отдельных этапов кибератак.
Особенности 2025
Шифрование без требования выкупа.
Смещение фокуса с финансовой выгоды в сторону хактивизма и нанесения максимального ущерба.
2024
Значительный рост числа атак через доверительные отношения (операторы шифровальщиков «распробовали» этот вектор).
Еще больший рост числа атак, где целью является нанесение максимального ущерба потерпевшему, а не финансовая выгода атакующего.
Громкие кейсы с попытками внедрения атакующих через процессы найма.
2023
Выявление массовых атак на мобильные устройства с применением уязвимостей нулевого дня.
Атаки через доверительные отношения (через подрядчиков, обслуживающих ИТ-системы или их компоненты).
«Захват» внешних ИТ-активов (облачные диски, другие сторонние сервисы) для закрепления доступа.
2022
Резкий рост числа политически мотивированных кибератак на российские организации.
Рост числа атак, где данные шифруются или уничтожаются, без требования выкупа.
Резкий рост числа атак, использующих громкие политические события для социальной инженерии или доставки вредоносных программ.
2021-2020
Развитие ландшафта киберугроз, спровоцированное переходом на удаленную работу, рост числа атак:
  • эксплуатирующих веб-уязвимости и угадываемые пароли (RDP, RDG);
  • эксплуатирующих уязвимости на периметре (ProxyLogon, ProxyShell);
  • использующих социальную инженерию в контексте COVID-19.
Увеличение ущерба от атак шифровальщиков.
Громкие атаки на цепочки поставок программного обеспечения.

Навести порядок в цифровом хаосе

Оставить заявку на консультацию с экспертами