DFIR - Reakcja na Incydenty Cyberbezpieczeństwa

Zakres usługi

• Utrzymanie gotowości i szybka mobilizacja zespołu reagowania na incydenty. Gotowość do działania 24/7.
• Prowadzenie działań w zakresie reakcji na incydenty cyberbezpieczeństwa zdalnie lub w miejscu wystąpienia incydentu.
• Prowadzenie bezpośrednich działań w celu przerwania ataku, ograniczania jego skutków i zabezpieczenia środowiska przed dalszymi działaniami złośliwych aktorów:
  • Udostępnienie, wdrożenie, konfiguracja i monitoring najwyższej klasy narzędzi EDR i NDR.
  • Identyfikacja wektora ataku, technik oraz taktyk złośliwych aktorów.
  • Wywiad CTI i OSINT.
  • Threat Hunting.
  • Analiza środowiska i rekomendacje zabezpieczeń.
• Zabezpieczenie i analiza materiału do analizy z wykorzystaniem specjalistycznych urządzeń i oprogramowania.
• Zapewnienie narzędzi niezbędnych do prowadzenia działań.
• Dokumentacja działań związanych z reakcją na incydent.
• Przygotowanie raportu po incydencie.
• Wparcie przy współpracy z organami ścigania:
  • Przygotowanie materiałów i raportów na temat incydentu.
  • Zeznawanie w charakterze świadka podczas dochodzeń.
• Wsparcie przy współpracy z zespołami CERT:
  • Udział w spotkaniach.
  • Dostarczanie materiałów i raportów na temat incydentu.
• Doradztwo i wsparcie w przypadku konieczności kontaktu z grupami ransomware:
  • Nawiązanie kontaktu i utrzymanie dialogu z grupą ransomware.
  • Prowadzenie negocjacji w celu uzyskania dodatkowych informacji.
  • Prowadzenie negocjacji w celu opóźnienia działań grup cyberprzestępczych.
  • Prowadzenie negocjacji w celu opłacenia okupu.
  • Wsparcie techniczne przy działaniach związanych z opłaceniem okupu.
• Koordynacja działań związanych z reakcją na incydenty:
  • Doradztwo techniczne.
  • Prowadzenie i koordynacja działań w celu powstrzymania incydentu i ograniczenia jego skutków
  • Współpraca i doradztwo przy współpracy z lokalnymi zespołami IT i bezpieczeństwa.
  • Koordynacja działań zaangażowanych podmiotów zewnętrznych.
  • Wsparcie w odtwarzaniu i przywracaniu systemów.

Parametry usługi

• Utrzymanie gotowości:
  • Mobilizacja trzyosobowego zespołu ekspertów w czasie do 4 godzin od zgłoszenia incydentu.
  • Możliwość zwiększenia zaangażowania zespołu do 6 osób w czasie do 24 godzin od zgłoszenia incydentu.
  • Podjęcie działań zdalnie natychmiast po mobilizacji lub działań na miejscu wystąpienia incydentu, z uwzględnieniem czasu potrzebnego na mobilizację zespołu oraz czasu podróży z siedziby SOC360.

Parametry wyceny:

• Opłata za gotowość i utrzymanie procesu.
• Ilość dni roboczych w okresie rozliczeniowym przeznaczonych na działania bezpośrednio związane z reakcją na incydenty.

Kompetencje zespołu

SOC360 codziennie wykrywa, analizuje i reaguje na incydenty cyberbezpieczeństwa w dziesiątkach organizacji na całym świecie. Monitorujemy setki tysięcy komputerów i serwerów, aktywność użytkowników, sieci LAN i usługi w chmurze. Zespół SOC360 dysponuje kompetencjami, doświadczeniem, procesami i narzędziami, które są niezbędne do świadczenia szerokiego zakresu usług wsparcia w zakresie reagowania na incydenty cyberbezpieczeństwa.

Wszyscy nasi eksperci legitymują się następującymi kompetencjami:

• Doświadczeniem i praktycznymi umiejętnościami zdobytymi w rezultacie wspierania organizacji dotkniętych atakami cybernetycznymi, w tym atakami ransomware.
• Doświadczeniem w kontaktach z grupami cyberprzestępczymi.
• Doświadczeniem taktycznym i operacyjnym w zakresie wykrywania, analizy i reakcji na incydenty cyberbezpieczeństwa.

Kompetencje naszego zespołu są potwierdzone następującymi certyfikatami:

• Digital Forensics Examiner
• Professional Network Penetration Tester
• Certified Red Team Professional.
• Certified Azure Red Team Professional.
• Inne.

Mamy wysokie, potwierdzone partnerstwem i licznymi certyfikatami kompetencje w zakresie środowisk Microsoft.

W naszych działaniach stosujemy profesjonalne, komercyjne narzędzia i najlepsze praktyki DFIR (Digital Forensics and Incident Response).