informatyka śledcza i reagowanie na incydenty

Informatyka śledcza i
analiza incydentów

Informatyka śledcza i reagowanie na incydenty (obsługa incydentów) jest to zgodne ze sztuką zabezpieczenie materiału dowodowego, analiza incydentów takich jak hakerskie ataki (analiza powłamaniowa), analiza artefaktów aktywności i odzyskiwanie danych. Posiadamy status biegłego sądowego.

Zgłoś incydent

Poznaj nasz SOC / CERT

SOC

Oferujemy nie tylko doraźną pomoc w trakcie incydentów ale również proaktywną usługę stałego i całodobowego monitoringu informatycznych zasobów pod kątem cyberbezpieczeństwa (threat hunting i threat intelligence) oraz natychmiastowego reagowania na pojawiające się incydenty (informatyka śledcza i analiza powłamaniowa). Zapraszamy do zapoznania się z usługą SOC-as-a-Service oferowaną przez nasz zespół Security Operations Center (SOC).

Analiza incydentów i analiza powłamaniowa

Dzięki szerokiej wiedzy świadczymy wysokiej jakości usługi informatyki śledczej (informatyka kryminalistyczna), ze szczególnym naciskiem na aspekty cyberbezpieczeństwa czyli DFIR (Digital Forensics and Incident Response) – informatyka śledcza i reagowanie na incydenty. Posiadamy status biegłego sądowego z listy Sądu Okręgowego oraz realne doświadczenie w tej dziedzinie – braliśmy udział w zabezpieczaniu materiału dowodowego na miejscu przestępstw oraz wykorzystujemy do badań wysokiej klasy sprzęt i komercyjne oprogramowanie dedykowane tej dziedzinie.

Zabezpieczenie materiału dowodowego

Podstawą reagowania na incydent jest prawidłowe zabezpieczenie materiału dowodowego na podstawie którego następnie wykonuje się analizę incydentu. Nieprawidłowe zabezpieczenie materiału dowodowego prowadzi do zatarcia informacji i może nie tylko utrudnić analizę incydentu ale również uniemożliwić jej wykonanie. Z kolei nieprawdidłowo wykonana analiza incydentu i brak odpowiedzi na pytania jak do niego doszło oraz jakie są jego skutki może mięc dalkoidące konsekwencje dla bezpieczeństwa informacji i ciągłości biznesu.

Fachowo zabezpieczymy materiał dowodowy, czy to do dalszej analizy czy to dla celów postępowań sądowych. Przyjedziemy fizycznie zabezpieczyć dowody przy pomocy dedykowanego sprzętu i oprogramowania lub pomożemy wykonać poprawne zabezpieczenie. Usługa może być zrealizowana zarówno na wyłączonym jak i włączonym komputerze, tzw. live forensics, tudzież live response.

Dzięki uprzejmości Wydawnictwa Naukowego PWN został bezpłatnie udostępniony opisowy fragment książki Adama Ziaji na temat prawidłowego zabezpieczenia danych – pobierz epub lub mobi. Naszym klientom oferujemy techniczny poradnik jak zgodnie ze sztuką zabezpieczyć materiał dowodowy.

Praktyczna analiza powłamaniowa

Praktyczna analiza powłamaniowa

Adam Ziaja jest biegłym sądowym oraz autorem pierwszej polskiej technicznej publikacji naukowej na temat informatyki śledczej i reagowania na incydenty (DFIR) o tytule “Praktyczna analiza powłamaniowa”, która została wydana przez Wydawnictwo Naukowe PWN i posiada pozytywną recenzję biegłego sądowego mł. insp. dr hab. inż. J. Kosińskiego, profesora Wyższej Szkoły Policji w Szczytnie. W książce zostały technicznie opisane m.in. takie tematy jak zabezpieczenie danych, analiza hakerskich ataków oraz wykrywanie backdoorów i rootkitów. Publikacja jest najlepszą wizytówką naszych kompetencji w zakresie reagowania na incydenty, które wynikają bezpośrednio z szerokiego doświadczenia w analizach danych oraz detekcji złośliwej aktywności i realizacji symulacji hakerskich ataków.

Analiza logów, dysków, pamięci RAM oraz ruchu sieciowego

Wykonujemy analizy wszelkiego rodzaju cyfrowych informacji: badanie wielu dysków dowodowych, analiza logów (np. zdarzenia systemu Windows), zrzut i analiza pamięci RAM oraz analiza ruchu sieciowego.

Hakerskie włamanie, i co teraz?

Hakerskie włamanie, i co teraz?

Infografika “Hakerskie włamanie, i co teraz?” przedstawia odpowiednie podejście do zabezpieczenia materiału dowodowego w przypadku ataku hakerskiego.

Prawidłowa reakcja i należyte zabezpieczenie danych jest najważniejszą czynnością, niejednokrotnie przesądzającą o możliwościach analizy. Brak zabezpieczenia danych i dokonywanie operacji w systemie, jego wyłączanie, restarty, upływający czas działającego systemu – wszystko to ma destrukcyjny wpływ na zachowanie śladów aktywności i powodzenie analizy powłamaniowej.

Reagowanie na incydenty (CERT, CSIRT)

REDTEAM.PL CERT (RFC 2350) jest uznanym zespołem reagowania na incydenty oraz członkiem największej międzynarodowej organizacji Trusted Introducer zrzeszającej zespoły CERT. Jako CERT (Computer Emergency Response Team) zwany również CSIRT (Computer Security Incident Response Team) jesteśmy w stanie doraźnie pomagać w przypadku wystąpienia incydentów, doradzimy jak podejść do problemu aby uzyskać oczekiwane rezultaty oraz wykonać rzetelną analizę zdarzenia. Zajmujemy się realizacją od A do Z, od prawidłowego zabezpieczenia danych, przez analizę po raport końcowy opisujący ustalone szczegóły incydenty. W celu szybkiego zabezpieczenia danych po incydencie oferujemy również wsparcie w postaci know-how jak prawidłowo zabezpieczyć dowody na systemach Windows oraz Linux. Dzięki temu nie wstrzymujemy biznesu i zaatakowane maszyny mogą w niedługim czasie powrócić do pracy bez negatywnego wpływu na analizę incydentu, a prawidłowo zabezpieczony materiał dowodowy może być wykorzystany w sprawach sądowych.

Dlaczego my? Wiedza i doświadczenie

Jako jedna z nielicznych firm, które nie zajmują się wyłącznie informatyką śledczą, posiadamy oprogramowanie, sprzęt i realne kompetencje poparte doświadczeniem zawodowym w tym zakresie. Wykorzystujemy profesjonalne dedykowane oprogramowanie, które jest dużo wyższej jakości od darmowego, co ma bezpośrednie przełożenie na szybkość oraz skuteczność analizy. Korzystamy również ze sprzętowych blokerów (urządzenie uniemożliwia zapis na dysku) celem zachowania najwyższych standardów bezpieczeństwa przy pracy na materiale dowodowym, tak aby zachować jego pełną integralność. Posiadamy uprawnienia biegłego sądowego z zakresu informatyki śledczej, w związku z czym na zlecenie uprawnionych państwowych organów możemy wydawać wiążące eksperckie opinie.

Adam Ziaja współautorem wielu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CSIRT (Computer Security Incident Response Team), wliczając w to publikację poświęconą informatyce śledczej.

Posiadamy równie bogate doświadczenie z zakresu ofensywnego cyberbezpieczeństwa, a co szczególnie pomaga nam przy reagowaniu na incydenty. Dzięki temu dostarczamy usługi o jakości niespotykanej na polskim rynku.

Analiza incydentu

W przypadku kiedy doszło do hakerskiego włamania najistotniejszy jest czas oraz prawidłowe zabezpieczenie materiału dowodowego, nie tylko dla celów sądowych ale również aby odpowiedzieć na pytanie jak doszło do włamania oraz jakie operacje zostały wykonane. Nie zalecamy samodzielnych prób analiz włamań ze względu na realną możliwość zatarcia śladów przez nadpisanie istotnych artefaktów.

Biegły sądowy z zakresu informatyki

Wyłącznie dla uprawnionych państwowych podmiotów istnieje opiniowania jako biegły sądowy z zakresu informatyki z listy Sądu Okręgowego w Warszawie, i nie tylko ponieważ w zespole posiadamy więcej niż jednego biegłego. Naszą specjalizacją jest cyberbezpieczeństwo (analiza powłamaniowa, analiza logów, hacking, cyberprzestępczość) i prace realizujemy jedynie w tym zakresie. Nie istnieje prawna możliwości wydania opinii jako biegły sądowy dla jakiegokolwiek prywatnego podmiotu (osoby fizycznej, firmy itd). Nie prowadzimy konsultacji oraz nie udzielamy porad w zakresie sporów sądowych.

Analiza phishingu

Analizujemy ataki takie jak kampanie phishing czy ukierunkowane zaawansowane ataki spear-phishing.

Analiza złośliwego oprogramowania

Realizujemy analizę złośliwego oprogramowania, od analizy behawioralnej po statyczną. Jesteśmy również w stanie wytypować złośliwe oprogramowanie na dysku przez głęboką analizę jego zawartości.

Analiza ataków ransomware

Wykonujemy analizy ataków ransomware również kiedy dochodzi do zaszyfrowania danych. Jako jedyna firma zabezpieczyliśmy serwery wykorzystywane do ataków przez grupę APT Sodinokibi / REvil oraz opublikowaliśmy TTPs grupy APT Black Kingdom.

Odzyskiwanie zaszyfrowanych danych

Podejmujemy próby odzyskania danych zaszyfrowanych przez złośliwe oprogramowanie typu cryptolocker. Działanie takiego malware polega na szyfrowaniu istotnych danych, a następnie żądaniach okupu. Szybkość reakcji po ataku wpływa na możliwość odzyskania większej ilości danych.

Szpiegostwo przemysłowe

Pomagamy w wykrywaniu i zabezpieczaniu śladów szpiegostwa gospodarczego w przypadku podejrzenia pozyskiwania tajemnic przedsiębiorstwa przez nieuczciwą konkurencję. Z jednej strony uzyskując dowody świadczące o winie nieuczciwych pracowników, a z drugiej analizując infrastrukturę pod kątem włamań i wycieków informacji.

Szkolenia z informatyki śledczej

Realizujemy szkolenia z zakresu informatyki śledczej, zarówno dla osób początkujących, średnio zaawansowanych jak i zaawansowanych. Poza klasycznymi szkoleniami oferujemy także ścieżki dedykowane analizie urządzeń mobilnych oraz nagrań wideo. Dodatkowo również szkolenia produktowe z FTK (Forensic Toolkit) oraz X-Ways Forensics.

Bezpowrotne usuwanie danych

Zajmujemy się bezpowrotnym usuwaniem danych z nieuszkodzonych fizycznie nośników. W przypadkach takich jak sprzedaż lub zwrot wypożyczonego sprzętu jesteśmy w stanie usunąć dane tak, że nie będą możliwe do odzyskania przez żadne oprogramowanie do informatyki śledczej. Wykorzystywana przez nas technika nie prowadzi do uszkodzeń fizycznych, dyski nadają się do dalszego wykorzystania.

Poznaj naszą ofertę

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu ataku jak i obrony. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze umiejętności wynikają z szerokiego i wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie oraz poparte są certyfikatami, publikacjami i referencjami od znanych podmiotów.

Poznaj kompetencje naszego zespołu

Nasz zespół odkrył i odpowiedzialnie zgłosił dziesiątki luk w zabezpieczeniach najbardziej znanych produktów powszechnie rozpoznawalnych globalnych marek, za co otrzymaliśmy liczne podziękowania od takich podmiotów jak między innymi:

Netflix
VMware
Adobe
Oracle
Apple
Mozilla