Informatyka śledcza i reagowanie na incydenty (analiza incydentów) jest to zgodne ze sztuką zabezpieczenie materiału dowodowego, analiza incydentów takich jak hakerskie ataki (analiza powłamaniowa), analiza artefaktów aktywności i odzyskiwanie danych. Posiadamy status biegłego sądowego.
Zgłoś incydentJeśli Państwa organizacja potrzebuje pomocy w związku z możliwym incydentem lub naruszeniem cyberbezpieczeństwa, prosimy o kontakt z naszym zespołem reagowania na incydenty pod adresem e-mail cert@redteam.pl (PGP, RFC 2350) oraz zapoznanie się z infografiką “Hakerskie włamanie, i co teraz?”.
Oferujemy nie tylko doraźną pomoc w trakcie incydentów ale również proaktywną usługę stałego i całodobowego monitoringu informatycznych zasobów pod kątem cyberbezpieczeństwa (threat intelligence i threat hunting przy pomocy RedEye) oraz natychmiastowego reagowania na pojawiające się incydenty (informatyka śledcza i analiza powłamaniowa). Zapraszamy do zapoznania się z usługą SOC-as-a-Service oferowaną przez nasz zespół Security Operations Center (SOC).
Dzięki szerokiej wiedzy świadczymy wysokiej jakości usługi informatyki śledczej (informatyka kryminalistyczna), ze szczególnym naciskiem na aspekty cyberbezpieczeństwa czyli DFIR (Digital Forensics and Incident Response) – informatyka śledcza i reagowanie na incydenty. Posiadamy status biegłego sądowego z listy Sądu Okręgowego oraz realne doświadczenie w tej dziedzinie – braliśmy udział w zabezpieczaniu materiału dowodowego na miejscu przestępstw oraz wykorzystujemy do badań wysokiej klasy sprzęt i komercyjne oprogramowanie dedykowane tej dziedzinie.
Podstawą reagowania na incydent jest prawidłowe zabezpieczenie materiału dowodowego na podstawie którego następnie wykonuje się analizę incydentu. Nieprawidłowe zabezpieczenie materiału dowodowego prowadzi do zatarcia informacji i może nie tylko utrudnić analizę incydentu ale również uniemożliwić jej wykonanie. Z kolei nieprawdidłowo wykonana analiza incydentu i brak odpowiedzi na pytania jak do niego doszło oraz jakie są jego skutki może mięc dalkoidące konsekwencje dla bezpieczeństwa informacji i ciągłości biznesu.
Fachowo zabezpieczymy materiał dowodowy, czy to do dalszej analizy czy to dla celów postępowań sądowych. Przyjedziemy fizycznie zabezpieczyć dowody przy pomocy dedykowanego sprzętu i oprogramowania lub pomożemy wykonać poprawne zabezpieczenie. Usługa może być zrealizowana zarówno na wyłączonym jak i włączonym komputerze, tzw. live forensics, tudzież live response.
Dzięki uprzejmości Wydawnictwa Naukowego PWN został bezpłatnie udostępniony opisowy fragment książki Adama Ziaji na temat prawidłowego zabezpieczenia danych – pobierz epub lub mobi. Naszym klientom oferujemy techniczny poradnik jak zgodnie ze sztuką zabezpieczyć materiał dowodowy.
Adam Ziaja jest biegłym sądowym oraz autorem pierwszej polskiej technicznej publikacji naukowej na temat informatyki śledczej i reagowania na incydenty (DFIR) o tytule “Praktyczna analiza powłamaniowa”, która została wydana przez Wydawnictwo Naukowe PWN i posiada pozytywną recenzję biegłego sądowego mł. insp. dr hab. inż. J. Kosińskiego, profesora Wyższej Szkoły Policji w Szczytnie. W książce zostały technicznie opisane m.in. takie tematy jak zabezpieczenie danych, analiza hakerskich ataków oraz wykrywanie backdoorów i rootkitów. Publikacja jest najlepszą wizytówką naszych kompetencji w zakresie reagowania na incydenty, które wynikają bezpośrednio z szerokiego doświadczenia w analizach danych oraz detekcji złośliwej aktywności i realizacji symulacji hakerskich ataków.
Wykonujemy analizy wszelkiego rodzaju cyfrowych informacji: badanie wielu dysków dowodowych, analiza logów (np. zdarzenia systemu Windows), zrzut i analiza pamięci RAM oraz analiza ruchu sieciowego.
Infografika “Hakerskie włamanie, i co teraz?” przedstawia odpowiednie podejście do zabezpieczenia materiału dowodowego w przypadku ataku hakerskiego.
Prawidłowa reakcja i należyte zabezpieczenie danych jest najważniejszą czynnością, niejednokrotnie przesądzającą o możliwościach analizy. Brak zabezpieczenia danych i dokonywanie operacji w systemie, jego wyłączanie, restarty, upływający czas działającego systemu – wszystko to ma destrukcyjny wpływ na zachowanie śladów aktywności i powodzenie analizy powłamaniowej.
REDTEAM.PL CERT (RFC 2350) jest uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej międzynarodowe zespoły CERT (Computer Emergency Response Team). Jesteśmy wyszczególnieni na oficjalnej witrynie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako polski zespół reagowania na incydenty (CERT / CSIRT). Pełniąc rolę CSIRT (Computer Security Incident Response Team) jesteśmy w stanie doraźnie pomagać w przypadku wystąpienia incydentów, doradzimy jak podejść do problemu aby uzyskać oczekiwane rezultaty oraz wykonać rzetelną analizę zdarzenia. Zajmujemy się realizacją od A do Z, od prawidłowego zabezpieczenia danych, przez analizę po raport końcowy opisujący ustalone szczegóły incydenty. W celu szybkiego zabezpieczenia danych po incydencie oferujemy również wsparcie w postaci know-how jak prawidłowo zabezpieczyć dowody na systemach Windows oraz Linux. Dzięki temu nie wstrzymujemy biznesu i zaatakowane maszyny mogą w niedługim czasie powrócić do pracy bez negatywnego wpływu na analizę incydentu, a prawidłowo zabezpieczony materiał dowodowy może być wykorzystany w sprawach sądowych.
Jako jedna z nielicznych firm, które nie zajmują się wyłącznie informatyką śledczą, posiadamy oprogramowanie, sprzęt i realne kompetencje poparte doświadczeniem zawodowym w tym zakresie. Wykorzystujemy profesjonalne dedykowane oprogramowanie, które jest dużo wyższej jakości od darmowego, co ma bezpośrednie przełożenie na szybkość oraz skuteczność analizy. Korzystamy również ze sprzętowych blokerów (urządzenie uniemożliwia zapis na dysku) celem zachowania najwyższych standardów bezpieczeństwa przy pracy na materiale dowodowym, tak aby zachować jego pełną integralność. Posiadamy uprawnienia biegłego sądowego z zakresu informatyki śledczej, w związku z czym na zlecenie uprawnionych państwowych organów możemy wydawać wiążące eksperckie opinie.
Adam Ziaja współautorem wielu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CSIRT (Computer Security Incident Response Team), wliczając w to publikację poświęconą informatyce śledczej.
Posiadamy równie bogate doświadczenie z zakresu ofensywnego cyberbezpieczeństwa, a co szczególnie pomaga nam przy reagowaniu na incydenty. Bardzo dobrze rozumiemy ataki hakerskie, a dzięki temu dostarczamy usługi analizy powłamaniowej o jakości niespotykanej na polskim rynku.
W przypadku kiedy doszło do hakerskiego włamania najistotniejszy jest czas oraz prawidłowe zabezpieczenie materiału dowodowego, nie tylko dla celów sądowych ale również aby odpowiedzieć na pytanie jak doszło do włamania oraz jakie operacje zostały wykonane. Nie zalecamy samodzielnych prób analiz włamań ze względu na realną możliwość zatarcia śladów przez nadpisanie istotnych artefaktów. Wykonujemy również analizy targetowanych ataków APT.
Wyłącznie dla uprawnionych państwowych podmiotów istnieje opiniowania jako biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie, i nie tylko ponieważ w zespole posiadamy więcej niż jednego biegłego. Naszą specjalizacją jest cyberbezpieczeństwo (analiza powłamaniowa, analiza logów, hacking, cyberprzestępczość) i prace realizujemy jedynie w tym zakresie. Nie istnieje prawna możliwości wydania opinii jako biegły sądowy dla jakiegokolwiek prywatnego podmiotu (osoby fizycznej, firmy itd). Nie prowadzimy konsultacji oraz nie udzielamy porad w zakresie sporów sądowych.
Wykonujemy analizy ataków ransomware również kiedy dochodzi do zaszyfrowania danych. Jako jedyna firma zabezpieczyliśmy serwery wykorzystywane do ataków przez grupę APT Sodinokibi / REvil oraz opublikowaliśmy TTPs grupy APT Black Kingdom.
Realizujemy analizę złośliwego oprogramowania, od analizy behawioralnej po statyczną. Jesteśmy również w stanie wytypować złośliwe oprogramowanie na dysku przez głęboką analizę jego zawartości.
Analizujemy ataki takie jak kampanie phishing czy ukierunkowane i zaawansowane ataki spear-phishing. Bardzo dobrze rozumiemy w jaki sposób realizowane są tego typu ataki ponieważ świadczymy również usługę testów socjotechnicznych.
Podejmujemy próby odzyskania danych zaszyfrowanych przez złośliwe oprogramowanie typu cryptolocker. Działanie takiego malware polega na szyfrowaniu istotnych danych, a następnie żądaniach okupu. Szybkość reakcji po ataku wpływa na możliwość odzyskania większej ilości danych.
Pomagamy w wykrywaniu i zabezpieczaniu śladów szpiegostwa gospodarczego w przypadku podejrzenia pozyskiwania tajemnic przedsiębiorstwa przez nieuczciwą konkurencję. Z jednej strony uzyskując dowody świadczące o winie nieuczciwych pracowników, a z drugiej analizując infrastrukturę pod kątem włamań i wycieków informacji.
Realizujemy szkolenia z zakresu informatyki śledczej, zarówno dla osób początkujących, średnio zaawansowanych jak i zaawansowanych. Poza klasycznymi szkoleniami oferujemy także ścieżki dedykowane analizie urządzeń mobilnych oraz nagrań wideo. Dodatkowo również szkolenia produktowe z FTK (Forensic Toolkit) oraz X-Ways Forensics.
Zajmujemy się bezpowrotnym usuwaniem danych z nieuszkodzonych fizycznie nośników. W przypadkach takich jak sprzedaż lub zwrot wypożyczonego sprzętu jesteśmy w stanie usunąć dane tak, że nie będą możliwe do odzyskania przez żadne oprogramowanie do informatyki śledczej. Wykorzystywana przez nas technika nie prowadzi do uszkodzeń fizycznych, dyski nadają się do dalszego wykorzystania.
Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.
Testy cyberbezpieczeństwa wszelkiego rodzaju IT/OT/IoT/ICS/SCADA. Weryfikacja zabezpieczeń zarówno infrastruktury sieciowej jak i aplikacji m.in. webowych, mobilnych oraz klient-serwer.
Symulacje realnych ataków od warstwy technicznej przez ataki socjotechniczne po aspekty fizycznego bezpieczeństwa. Przeprowadzamy symulacje ataków typu Advanced Persistent Threat (APT).
Audyty pod kątem bezpieczeństwa w pełnym zakresie, wliczając w to audyty procedur, architektury oprogramowania, audyty kodu źródłowego, audyty konfiguracji oraz skany podatności.
Aktywne wyszukiwanie zagrożeń cybernetycznych, proaktywna informatyka śledcza mająca za cel wykrycie obecności intruza w zasobach organizacji. Usługa świadczona w formie stałego monitoringu i reagowania jako ostatnia linia SOC.
Informatyka kryminalistyczna: zabezpieczenie materiału dowodowego, badanie śladów aktywności, analiza powłamaniowa, analiza logów, analiza zdarzeń i analiza pamięci RAM. Dodatkowo również bezpowrotne usuwanie danych.
Posiadamy bogate doświadczenie w identyfikowaniu podatności w znanym oprogramowaniu. Jesteśmy w stanie przeprowadzić ukierunkowane badania bezpieczeństwa zarówno oprogramowania jak i urządzeń IT/OT/IoT.
Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:
