Услуги

Расследование киберинцидентов на промышленных предприятиях

Проблема
Проблема

Кибератака на промышленное предприятие, результатом которой могут стать кража конфиденциальных данных, остановка производства и физический ущерб. Не всегда сразу ясны масштаб и первопричина атаки, цели и возможности злоумышленников. Необходимо в кратчайшие сроки принять эффективные меры для быстрой остановки атаки.

Решение
Решение

Координация действий по сбору артефактов, их оперативный анализ, подготовка стратегии защиты и активная помощь в ее реализации, быстрое определение последовательности шагов для противодействия атаке и минимизации ее последствий, поиск первопричин и формирование списка мер по предотвращению подобных инцидентов в будущем.

Для кого
Для кого

Промышленные предприятия из любых отраслей.

Содержание

Что мы предлагаем

Оперативная помощь в расследовании и ликвидации последствий киберинцидентов на промышленных предприятиях — при реализации следующих действий.

Сбор информации как с ИТ- так и ОT-систем. С учетом экспертных знаний о функционировании этих систем, их особенностях и важных ограничениях это можно сделать, минимизировав необходимость остановки технологического процесса и производственной деятельности.

Обнаружение и исследование образцов нового, ранее неизученного вредоносного ПО, использованного в атаке, а также выявление и анализ информации о вредоносной инфраструктуре, использованной в атаке. Эти мероприятия помогают составить список индикаторов компрометации и найти затронутые атакой системы, сделать предположения о степени компрометации сети организации и получить дополнительные сведения для дальнейшего расследования.

Поиск связи атаки с конкретными злоумышленниками. Это может помочь обнаружить дополнительный инструментарий, использованный в атаке, сделать предположение о тактике, целях и возможностях атакующих.

Показать еще

Помогаем найти ответы на вопросы

Что произошло?

Какие активы пострадали и какой ущерб им нанесен?

Какие технические и организационные недостатки привели к инциденту? В частности, как злоумышленникам удалось проникнуть в инфраструктуру и распространиться по ней (какие инструменты и тактики они при этом использовали)?

Как предотвратить подобные инциденты в будущем?

Как устранить последствия инцидента и минимизировать ущерб?

Помогаем минимизировать ущерб от инцидента

Прямые финансовые убытки

Упущенная выгода

Репутационные потери

Порча сырья и продукта, повреждение оборудования и потеря доступа к критически важной информации

Угроза жизни людей и ущерба окружающей среде

Юридические риски и штрафные санкции со стороны регуляторов

Как мы работаем

Оперативно реагируем на запрос

Откликаемся на запрос, оставленный на нашем сайте или поступивший на почту ics-cert@kaspersky.com, чтобы дать знать: поддержка скоро будет.

Даем рекомендации по выявлению активов, затронутых инцидентом, и сдерживанию атаки

В течение 24 часов:

  • уточняем детали, согласовываем методику работы и совместно обозначаем приоритетные задачи расследования (остановить атаку, определить/минимизировать ущерб, найти первопричину, восстановить картину инцидента, разработать рекомендации по предотвращению подобных инцидентов);
  • даем, если это возможно, первоначальную оценку ситуации, включая оценку масштаба инцидента и возможного ущерба, прогноз вариантов развития атаки, рекомендации первоочередных мер и действий;
  • договариваемся об объеме (координация, сбор и/или анализ улик) и формате (on-site или удаленно) работы экспертов Kaspersky ICS CERT.
Собираем цифровые улики

Выезжаем на место происшествия для сбора цифровых улик или консультируем, как сделать это самостоятельно.

Помогаем координировать действия по реагированию на инцидент

Как правило, в процессе реагирования на инцидент решаем следующие задачи:

  • находим, изучаем и обезвреживаем весь использованный в атаке вредоносный арсенал. Часть его может не обнаруживаться в начале расследования, в таком случае требуется разработка обновлений средств защиты или специальных средств обнаружения;
  • идентифицируем и исследуем скомпрометированные системы, чтобы гарантированно лишить злоумышленников точек присутствия в сети организации.
  • обнаруживаем и анализируем все следы вредоносной активности, чтобы оценить масштаб ущерба;
  • выясняем цели злоумышленников, чтобы спрогнозировать варианты дальнейшего развития ситуации и выбрать меры для предотвращения наиболее негативных сценариев;
  • восстанавливаем картину происшествия и временной график развития атаки, чтобы выяснить, какими проблемами безопасности предприятия воспользовались злоумышленники, оперативно защитить предприятие от развития атаки и разработать перечень мер для предотвращения подобных ситуаций в будущем.
Помогаем минимизировать последствия инцидента

Предоставляем инструкции по возвращению систем предприятия к нормальной работе, при необходимости разрабатываем утилиты для поиска скомпрометированных систем и удаления вредоносного инструментария.

Готовим подробный отчет

Разъясняем результаты анализа собранных материалов и выявленных фактов.

Обычно все работы в рамках этой услуги занимают от семи дней до месяца в зависимости от масштаба, технической сложности инцидента и степени готовности пострадавшей организации к совместным оперативным и слаженным действиям.

Что получает клиент

В процессе реагирования на инцидент
В процессе реагирования на инцидент
  • Экспертная оценка ситуации
  • Пошаговые рекомендации срочных мер и действий, необходимых для достижения целей расследования в соответствии с их приоритетами
  • Техническая помощь и консультации или активная координация действий команды реагирования на инцидент
По результатам расследования
По результатам расследования

Отчет, который содержит:

  • описание восстановленной картины инцидента: основных обнаруженных обстоятельств, временного графика развития, векторов, тактик и техник атаки, выявленной первопричины, эксплуатированных злоумышленниками проблем безопасности;
  • оценку последствий инцидента для информационных активов предприятия;
  • описание основных свойств и функциональных возможностей обнаруженного вредоносного ПО;
  • рекомендации по повышению уровня защищенности предприятия для недопущения подобных инцидентов в будущем, включая технические и организационные меры, мероприятия по повышению осведомленности персонала о практиках безопасной работы с информационными активами, курсы повышения квалификации для специалистов.

Мы гарантируем конфиденциальность данных, полученных в рамках расследования инцидента.

Запросить консультацию Скачать описание услуги
Запросить
консультацию
Статьи по теме
Все публикации
Атаки обновленного вредоносного ПО MATA на промышленные компании в Восточной Европе
Техники, тактики и процедуры атак на промышленные компании. Импланты для удаленного доступа
Техники, тактики и процедуры атак на промышленные компании. Импланты для сбора данных
Техники, тактики и процедуры атак на промышленные компании. Импланты для выгрузки данных на сервер
Таргетированная атака на промышленные предприятия и государственные учреждения
Все публикации
Статьи по теме
Все публикации
Атаки обновленного вредоносного ПО MATA на промышленные компании в Восточной Европе
Техники, тактики и процедуры атак на промышленные компании. Импланты для удаленного доступа
Техники, тактики и процедуры атак на промышленные компании. Импланты для сбора данных
Техники, тактики и процедуры атак на промышленные компании. Импланты для выгрузки данных на сервер
Таргетированная атака на промышленные предприятия и государственные учреждения
Все публикации
Рекомендуем дополнительно
Все
Разработка руководства и обучение реагированию на инциденты
Разработка руководства и обучение реагированию на инциденты
Описание услуги
Поток данных об угрозах для систем промышленной автоматизации
Поток данных об угрозах для систем промышленной автоматизации
Поток машиночитаемых данных об уязвимостях АСУ ТП
Поток машиночитаемых данных об уязвимостях АСУ ТП
Аналитические отчеты об угрозах и уязвимостях АСУ ТП на портале Kaspersky Threat Intelligence
Аналитические отчеты об угрозах и уязвимостях АСУ ТП на портале Kaspersky Threat Intelligence
Все услуги