Zabezpieczenie materiału dowodowego
Podstawą reagowania na incydent jest prawidłowe zabezpieczenie materiału dowodowego na podstawie którego następnie wykonuje się analizę incydentu. Nieprawidłowe zabezpieczenie materiału dowodowego prowadzi do zatarcia informacji i może nie tylko utrudnić analizę incydentu ale również uniemożliwić jej wykonanie. Z kolei nieprawdidłowo wykonana analiza incydentu i brak odpowiedzi na pytania jak do niego doszło oraz jakie są jego skutki może mięc dalkoidące konsekwencje dla bezpieczeństwa informacji i ciągłości biznesu.
Fachowo zabezpieczymy materiał dowodowy, czy to do dalszej analizy czy to dla celów postępowań sądowych. Przyjedziemy fizycznie zabezpieczyć dowody przy pomocy dedykowanego sprzętu i oprogramowania lub pomożemy wykonać poprawne zabezpieczenie. Usługa może być zrealizowana zarówno na wyłączonym jak i włączonym komputerze, tzw. live forensics, tudzież live response.
Dzięki uprzejmości Wydawnictwa Naukowego PWN został bezpłatnie udostępniony opisowy fragment książki Adama Ziaji na temat prawidłowego zabezpieczenia danych – pobierz epub lub mobi. Naszym klientom oferujemy techniczny poradnik jak zgodnie ze sztuką zabezpieczyć materiał dowodowy.
Praktyczna analiza powłamaniowa
Adam Ziaja jest biegłym sądowym oraz autorem pierwszej polskiej technicznej publikacji naukowej na temat informatyki śledczej i reagowania na incydenty (DFIR) o tytule “Praktyczna analiza powłamaniowa”, która została wydana przez Wydawnictwo Naukowe PWN i posiada pozytywną recenzję biegłego sądowego mł. insp. dr hab. inż. J. Kosińskiego, profesora Wyższej Szkoły Policji w Szczytnie. W książce zostały technicznie opisane m.in. takie tematy jak zabezpieczenie danych, analiza hakerskich ataków oraz wykrywanie backdoorów i rootkitów. Publikacja jest najlepszą wizytówką naszych kompetencji w zakresie reagowania na incydenty, które wynikają bezpośrednio z szerokiego doświadczenia w analizach danych oraz detekcji złośliwej aktywności i realizacji symulacji hakerskich ataków.
Analiza logów, dysków, pamięci RAM oraz ruchu sieciowego
Wykonujemy analizy wszelkiego rodzaju cyfrowych informacji: badanie wielu dysków dowodowych, analiza logów (np. zdarzenia systemu Windows), zrzut i analiza pamięci RAM oraz analiza ruchu sieciowego.
Hakerskie włamanie, i co teraz?
Infografika “Hakerskie włamanie, i co teraz?” przedstawia odpowiednie podejście do zabezpieczenia materiału dowodowego w przypadku ataku hakerskiego.
Prawidłowa reakcja i należyte zabezpieczenie danych jest najważniejszą czynnością, niejednokrotnie przesądzającą o możliwościach analizy. Brak zabezpieczenia danych i dokonywanie operacji w systemie, jego wyłączanie, restarty, upływający czas działającego systemu – wszystko to ma destrukcyjny wpływ na zachowanie śladów aktywności i powodzenie analizy powłamaniowej.
Reagowanie na incydenty (CERT, CSIRT)
REDTEAM.PL CERT (RFC 2350) jest uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej międzynarodowe zespoły CERT (Computer Emergency Response Team). Jesteśmy wyszczególnieni na oficjalnej witrynie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako polski zespół reagowania na incydenty (CERT / CSIRT). Pełniąc rolę CSIRT (Computer Security Incident Response Team) jesteśmy w stanie doraźnie pomagać w przypadku wystąpienia incydentów, doradzimy jak podejść do problemu aby uzyskać oczekiwane rezultaty oraz wykonać rzetelną analizę zdarzenia. Zajmujemy się realizacją od A do Z, od prawidłowego zabezpieczenia danych, przez analizę po raport końcowy opisujący ustalone szczegóły incydenty. W celu szybkiego zabezpieczenia danych po incydencie oferujemy również wsparcie w postaci know-how jak prawidłowo zabezpieczyć dowody na systemach Windows oraz Linux. Dzięki temu nie wstrzymujemy biznesu i zaatakowane maszyny mogą w niedługim czasie powrócić do pracy bez negatywnego wpływu na analizę incydentu, a prawidłowo zabezpieczony materiał dowodowy może być wykorzystany w sprawach sądowych.
Dlaczego my? Wiedza i doświadczenie
Jako jedna z nielicznych firm, które nie zajmują się wyłącznie informatyką śledczą, posiadamy oprogramowanie, sprzęt i realne kompetencje poparte doświadczeniem zawodowym w tym zakresie. Wykorzystujemy profesjonalne dedykowane oprogramowanie, które jest dużo wyższej jakości od darmowego, co ma bezpośrednie przełożenie na szybkość oraz skuteczność analizy. Korzystamy również ze sprzętowych blokerów (urządzenie uniemożliwia zapis na dysku) celem zachowania najwyższych standardów bezpieczeństwa przy pracy na materiale dowodowym, tak aby zachować jego pełną integralność. Posiadamy uprawnienia biegłego sądowego z zakresu informatyki śledczej, w związku z czym na zlecenie uprawnionych państwowych organów możemy wydawać wiążące eksperckie opinie.
Adam Ziaja współautorem wielu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CSIRT (Computer Security Incident Response Team), wliczając w to publikację poświęconą informatyce śledczej.
Posiadamy równie bogate doświadczenie z zakresu ofensywnego cyberbezpieczeństwa, a co szczególnie pomaga nam przy reagowaniu na incydenty. Dzięki temu dostarczamy usługi o jakości niespotykanej na polskim rynku.
Analiza incydentu
W przypadku kiedy doszło do hakerskiego włamania najistotniejszy jest czas oraz prawidłowe zabezpieczenie materiału dowodowego, nie tylko dla celów sądowych ale również aby odpowiedzieć na pytanie jak doszło do włamania oraz jakie operacje zostały wykonane. Nie zalecamy samodzielnych prób analiz włamań ze względu na realną możliwość zatarcia śladów przez nadpisanie istotnych artefaktów. Wykonujemy również analizy targetowanych ataków APT.
Biegły sądowy z zakresu informatyki
Wyłącznie dla uprawnionych państwowych podmiotów istnieje opiniowania jako biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie, i nie tylko ponieważ w zespole posiadamy więcej niż jednego biegłego. Naszą specjalizacją jest cyberbezpieczeństwo (analiza powłamaniowa, analiza logów, hacking, cyberprzestępczość) i prace realizujemy jedynie w tym zakresie. Nie istnieje prawna możliwości wydania opinii jako biegły sądowy dla jakiegokolwiek prywatnego podmiotu (osoby fizycznej, firmy itd). Nie prowadzimy konsultacji oraz nie udzielamy porad w zakresie sporów sądowych.
Analiza phishingu
Analizujemy ataki takie jak kampanie phishing czy ukierunkowane i zaawansowane ataki spear-phishing.
Analiza ataków ransomware
Wykonujemy analizy ataków ransomware również kiedy dochodzi do zaszyfrowania danych. Jako jedyna firma zabezpieczyliśmy serwery wykorzystywane do ataków przez grupę APT Sodinokibi / REvil oraz opublikowaliśmy TTPs grupy APT Black Kingdom.
Analiza złośliwego oprogramowania
Realizujemy analizę złośliwego oprogramowania, od analizy behawioralnej po statyczną. Jesteśmy również w stanie wytypować złośliwe oprogramowanie na dysku przez głęboką analizę jego zawartości.
Odzyskiwanie zaszyfrowanych danych
Podejmujemy próby odzyskania danych zaszyfrowanych przez złośliwe oprogramowanie typu cryptolocker. Działanie takiego malware polega na szyfrowaniu istotnych danych, a następnie żądaniach okupu. Szybkość reakcji po ataku wpływa na możliwość odzyskania większej ilości danych.
Szpiegostwo przemysłowe
Pomagamy w wykrywaniu i zabezpieczaniu śladów szpiegostwa gospodarczego w przypadku podejrzenia pozyskiwania tajemnic przedsiębiorstwa przez nieuczciwą konkurencję. Z jednej strony uzyskując dowody świadczące o winie nieuczciwych pracowników, a z drugiej analizując infrastrukturę pod kątem włamań i wycieków informacji.
Szkolenia z informatyki śledczej
Realizujemy szkolenia z zakresu informatyki śledczej, zarówno dla osób początkujących, średnio zaawansowanych jak i zaawansowanych. Poza klasycznymi szkoleniami oferujemy także ścieżki dedykowane analizie urządzeń mobilnych oraz nagrań wideo. Dodatkowo również szkolenia produktowe z FTK (Forensic Toolkit) oraz X-Ways Forensics.
Bezpowrotne usuwanie danych
Zajmujemy się bezpowrotnym usuwaniem danych z nieuszkodzonych fizycznie nośników. W przypadkach takich jak sprzedaż lub zwrot wypożyczonego sprzętu jesteśmy w stanie usunąć dane tak, że nie będą możliwe do odzyskania przez żadne oprogramowanie do informatyki śledczej. Wykorzystywana przez nas technika nie prowadzi do uszkodzeń fizycznych, dyski nadają się do dalszego wykorzystania.
Nasze publikacje o analizie incydentów