informatyka śledcza i reagowanie na incydenty

Informatyka śledcza i
analiza powłamaniowa

Informatyka śledcza i reagowanie na incydenty (analiza incydentów) jest to zgodne ze sztuką zabezpieczenie materiału dowodowego, analiza incydentów takich jak hakerskie ataki (analiza powłamaniowa), analiza artefaktów aktywności i odzyskiwanie danych. Posiadamy status biegłego sądowego.

Zgłoś incydent

Doszło do incydentu?

Jeśli Państwa organizacja potrzebuje pomocy w związku z możliwym incydentem lub naruszeniem cyberbezpieczeństwa, prosimy o kontakt z naszym zespołem reagowania na incydenty pod adresem e-mail cert@redteam.pl (PGP, RFC 2350) oraz zapoznanie się z infografiką “Hakerskie włamanie, i co teraz?”.

Poznaj nasz SOC / CERT

SOC

Oferujemy nie tylko doraźną pomoc w trakcie incydentów (analiza powłamaniowa i informatyka śledcza) ale również proaktywną usługę całodobowego monitoringu 24/7/365 i natychmiastowego reagowania na pojawiające się incydenty. Jesteśmy krajowym liderem threat huntingu, który realizujemy przy pomocy autorskiego rozwiązania RedEye. Zapraszamy do zapoznania się z usługą SOC-as-a-Service oferowaną przez nasz zespół Security Operations Center (SOC).

Analiza incydentów i analiza powłamaniowa

Dzięki szerokiej wiedzy świadczymy wysokiej jakości usługi informatyki śledczej (informatyka kryminalistyczna), ze szczególnym naciskiem na aspekty cyberbezpieczeństwa czyli DFIR (Digital Forensics and Incident Response) – informatyka śledcza i reagowanie na incydenty. Posiadamy status biegłego sądowego z listy Sądu Okręgowego oraz realne doświadczenie w tej dziedzinie – braliśmy udział w zabezpieczaniu materiału dowodowego na miejscu przestępstw oraz wykorzystujemy do badań wysokiej klasy sprzęt i komercyjne oprogramowanie dedykowane tej dziedzinie. Nasze kilkunastoletnie doświadczenie zawodowe w tej dziedzinie cyberbezpieczeństwa poparte jest uznanymi publikacji, w tym autorstwem książki PWN, jak i współautorstwem wielu dokumentów ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa), w tym materiałów dydaktycznych poświęconych informatyce śledczej i analizie incydentów, które zostały wydane przez tą agencję Unii Europejskiej dla zespołów reagowania na incydenty (CERT). Jesteśmy najbardziej doświadczonym w kraju zespołem z zakresu analizy powłamaniowej, którą wykonywaliśmy przez ostatnie kilkanaście lat dla dziesiątek zarówno polskich jak i zagranicznych organizacji.

Zabezpieczenie materiału dowodowego

Podstawą reagowania na incydent jest prawidłowe zabezpieczenie materiału dowodowego na podstawie którego następnie wykonuje się analizę incydentu. Nieprawidłowe zabezpieczenie materiału dowodowego prowadzi do zatarcia informacji i może nie tylko utrudnić analizę incydentu ale również uniemożliwić jej wykonanie. Z kolei nieprawdidłowo wykonana analiza incydentu i brak odpowiedzi na pytania jak do niego doszło oraz jakie są jego skutki może mięc dalkoidące konsekwencje dla bezpieczeństwa informacji i ciągłości biznesu.

Fachowo zabezpieczymy materiał dowodowy, czy to do dalszej analizy czy to dla celów postępowań sądowych. Przyjedziemy fizycznie zabezpieczyć dowody przy pomocy dedykowanego sprzętu i oprogramowania lub pomożemy wykonać poprawne zabezpieczenie. Usługa może być zrealizowana zarówno na wyłączonym jak i włączonym komputerze, tzw. live forensics, tudzież live response.

Dzięki uprzejmości Wydawnictwa Naukowego PWN został bezpłatnie udostępniony opisowy fragment książki Adama Ziaji na temat prawidłowego zabezpieczenia danych – pobierz epub lub mobi. Naszym klientom oferujemy techniczny poradnik jak zgodnie ze sztuką zabezpieczyć materiał dowodowy.

Praktyczna analiza powłamaniowa

Praktyczna analiza powłamaniowa

Adam Ziaja jest biegłym sądowym oraz autorem pierwszej polskiej technicznej publikacji naukowej na temat informatyki śledczej i reagowania na incydenty (DFIR) o tytule “Praktyczna analiza powłamaniowa”, która została wydana przez Wydawnictwo Naukowe PWN i posiada pozytywną recenzję biegłego sądowego mł. insp. dr hab. inż. J. Kosińskiego, profesora Wyższej Szkoły Policji w Szczytnie. W książce zostały technicznie opisane m.in. takie tematy jak zabezpieczenie danych, analiza hakerskich ataków oraz wykrywanie backdoorów i rootkitów. Publikacja jest najlepszą wizytówką naszych kompetencji w zakresie reagowania na incydenty, które wynikają bezpośrednio z szerokiego doświadczenia w analizach danych oraz detekcji złośliwej aktywności i realizacji symulacji hakerskich ataków.

Analiza logów, dysków, pamięci RAM oraz ruchu sieciowego

Wykonujemy analizy wszelkiego rodzaju cyfrowych informacji: badanie wielu dysków dowodowych, analiza logów (np. zdarzenia systemu Windows), zrzut i analiza pamięci RAM oraz analiza ruchu sieciowego.

Hakerskie włamanie, i co teraz?

Hakerskie włamanie, i co teraz?

Infografika “Hakerskie włamanie, i co teraz?” przedstawia odpowiednie podejście do zabezpieczenia materiału dowodowego w przypadku ataku hakerskiego.

Prawidłowa reakcja i należyte zabezpieczenie danych jest najważniejszą czynnością, niejednokrotnie przesądzającą o możliwościach analizy. Brak zabezpieczenia danych i dokonywanie operacji w systemie, jego wyłączanie, restarty, upływający czas działającego systemu – wszystko to ma destrukcyjny wpływ na zachowanie śladów aktywności i powodzenie analizy powłamaniowej.

Posiadamy zarówno obszerne doświadczenie, w tym uprawnienia biegłego sądowego, jak i sprzęt oraz komercyjne oprogramowanie potrzebne do wykonania rzetelnej analizy incydentu. Wykorzystywane przez nas sprzętowe blokery zapisu uniemożliwiają zniszczenie materiału dowodowego.

Reagowanie na incydenty (CERT, CSIRT)

REDTEAM.PL CERT (RFC 2350) jest uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej międzynarodowe zespoły CERT (Computer Emergency Response Team). Jesteśmy wyszczególnieni na oficjalnej witrynie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako polski zespół reagowania na incydenty (CERT / CSIRT). Pełniąc rolę CSIRT (Computer Security Incident Response Team) jesteśmy w stanie doraźnie pomagać w przypadku wystąpienia incydentów, doradzimy jak podejść do problemu aby uzyskać oczekiwane rezultaty oraz wykonać rzetelną analizę zdarzenia. Zajmujemy się realizacją od A do Z, od prawidłowego zabezpieczenia danych, przez analizę po raport końcowy opisujący ustalone szczegóły incydenty. W celu szybkiego zabezpieczenia danych po incydencie oferujemy również wsparcie w postaci know-how jak prawidłowo zabezpieczyć dowody na systemach Windows oraz Linux. Dzięki temu nie wstrzymujemy biznesu i zaatakowane maszyny mogą w niedługim czasie powrócić do pracy bez negatywnego wpływu na analizę incydentu, a prawidłowo zabezpieczony materiał dowodowy może być wykorzystany w sprawach sądowych.

Dlaczego my? Wiedza i doświadczenie

Jako jedna z nielicznych firm, które nie zajmują się wyłącznie informatyką śledczą, posiadamy oprogramowanie, sprzęt i realne kompetencje poparte doświadczeniem zawodowym w tym zakresie. Wykorzystujemy profesjonalne dedykowane oprogramowanie, które jest dużo wyższej jakości od darmowego, co ma bezpośrednie przełożenie na szybkość oraz skuteczność analizy. Korzystamy również ze sprzętowych blokerów (urządzenie uniemożliwia zapis na dysku) celem zachowania najwyższych standardów bezpieczeństwa przy pracy na materiale dowodowym, tak aby zachować jego pełną integralność. Posiadamy uprawnienia biegłego sądowego z zakresu informatyki śledczej, w związku z czym na zlecenie uprawnionych państwowych organów możemy wydawać wiążące eksperckie opinie.

Adam Ziaja jest współautorem wielu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CSIRT (Computer Security Incident Response Team), wliczając w to publikację poświęconą informatyce śledczej.

Posiadamy równie bogate doświadczenie z zakresu ofensywnego cyberbezpieczeństwa, a co szczególnie pomaga nam przy reagowaniu na incydenty. Bardzo dobrze rozumiemy ataki hakerskie, a dzięki temu dostarczamy usługi analizy powłamaniowej o jakości niespotykanej na polskim rynku.

Laboratorium

Analiza incydentu

W przypadku kiedy doszło do hakerskiego włamania najistotniejszy jest czas oraz prawidłowe zabezpieczenie materiału dowodowego, nie tylko dla celów sądowych ale również aby odpowiedzieć na pytanie jak doszło do włamania oraz jakie operacje zostały wykonane. Nie zalecamy samodzielnych prób analiz włamań ze względu na realną możliwość zatarcia śladów przez nadpisanie istotnych artefaktów. Wykonujemy również analizy targetowanych ataków APT.

Biegły sądowy z zakresu informatyki

Wyłącznie dla uprawnionych państwowych podmiotów istnieje opiniowania jako biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie (obecnie ustanowionym do 2028 roku), i nie tylko ponieważ w zespole posiadamy więcej niż jednego biegłego. Naszą specjalizacją jest cyberbezpieczeństwo (analiza powłamaniowa, analiza logów, hacking, cyberprzestępczość) i prace realizujemy jedynie w tym zakresie. Nie istnieje prawna możliwości wydania opinii jako biegły sądowy dla jakiegokolwiek prywatnego podmiotu (osoby fizycznej, firmy itd). Nie prowadzimy konsultacji oraz nie udzielamy porad w zakresie sporów sądowych.

Analiza ataków ransomware

Wykonujemy analizy ataków ransomware również kiedy dochodzi do zaszyfrowania danych. Jako jedyna firma zabezpieczyliśmy serwery wykorzystywane do ataków przez grupę APT Sodinokibi / REvil oraz opublikowaliśmy TTPs grupy APT Black Kingdom.

Analiza złośliwego oprogramowania

Realizujemy analizę złośliwego oprogramowania, od analizy behawioralnej po statyczną. Jesteśmy również w stanie wytypować złośliwe oprogramowanie na dysku przez głęboką analizę jego zawartości.

Analiza phishingu

Analizujemy ataki takie jak kampanie phishing czy ukierunkowane i zaawansowane ataki spear-phishing. Bardzo dobrze rozumiemy w jaki sposób realizowane są tego typu ataki ponieważ świadczymy również usługę testów socjotechnicznych.

Odzyskiwanie zaszyfrowanych danych

Podejmujemy próby odzyskania danych zaszyfrowanych przez złośliwe oprogramowanie typu cryptolocker. Działanie takiego malware polega na szyfrowaniu istotnych danych, a następnie żądaniach okupu. Szybkość reakcji po ataku wpływa na możliwość odzyskania większej ilości danych.

Szpiegostwo przemysłowe

Pomagamy w wykrywaniu i zabezpieczaniu śladów szpiegostwa gospodarczego w przypadku podejrzenia pozyskiwania tajemnic przedsiębiorstwa przez nieuczciwą konkurencję. Z jednej strony uzyskując dowody świadczące o winie nieuczciwych pracowników, a z drugiej analizując infrastrukturę pod kątem włamań i wycieków informacji.

Szkolenia z informatyki śledczej

Realizujemy szkolenia z zakresu informatyki śledczej, zarówno dla osób początkujących, średnio zaawansowanych jak i zaawansowanych. Poza klasycznymi szkoleniami oferujemy także ścieżki dedykowane analizie urządzeń mobilnych oraz nagrań wideo. Dodatkowo również szkolenia produktowe z FTK (Forensic Toolkit) oraz X-Ways Forensics.

Bezpowrotne usuwanie danych

Zajmujemy się bezpowrotnym usuwaniem danych z nieuszkodzonych fizycznie nośników. W przypadkach takich jak sprzedaż lub zwrot wypożyczonego sprzętu jesteśmy w stanie usunąć dane tak, że nie będą możliwe do odzyskania przez żadne oprogramowanie do informatyki śledczej. Wykorzystywana przez nas technika nie prowadzi do uszkodzeń fizycznych, dyski nadają się do dalszego wykorzystania.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Mozilla
Apple
Google
Microsoft
Oracle
Adobe