Реагирование на инциденты и компьютерная криминалистика (DFIRMA)

Услуги DFIRMA включают широкий спектр направлений и задач:

• Реагирование на инциденты. Услуги по локализации и сдерживанию происходящей компьютерный атаки, направленные на своевременные принятие мер по защите атакуемой инфраструктуры и минимизации возможного ущерба. Может осуществляться как удаленно, так и с присутствием на объектах заказчика.
• Анализ ВПО. Проведение анализа образцов ВПО с целью определения используемых злоумышленниками инструментов, выявления IOC, создания yara-правил для сканирования инфраструктуры.
• Расследование инцидентов и цифровая криминалистика. Цель услуги – установить обстоятельства инцидента, собрать необходимые цифровые улики, а также подготовить конкретные рекомендации по снижению рисков повторного инцидента и повышению уровня защищенности инфраструктуры. Доказательная база собирается с сохранением целостности цифровых следов, используя методы, соответствующие законодательству РФ. Вся собранная информация хранится в защищенном хранилище с ограниченным доступом и оформляется для передачи в правоохранительные органы и Заказчику.
• Анализ инфраструктуры на компрометацию (Compromise assessment). Установление наличия или отсутствия фактов компрометации инфраструктуры путем ретроспективного поиска соответствующих индикаторов, а также иных следов. Может применяться совместно с услугой «защита бренда», для проверки фактов использования «утекших данных».
• Сопровождение внутренних расследований. Проверка подозрений СБ или ИБ, сбор доказательной базы, участие в осмотрах, проведение выходных интервью с сотрудниками, сопровождение в досудебных урегулированиях и суде в качестве эксперта или специалиста.
• Методико-правовая оценка внутренней нормативной документации. Проведение оценки документов, регламентирующих подходы к информационной безопасности компании, на наличие и полноту описания всех возможных инцидентов и компрометирующих действий, способов их пресечения и мер ответственности.