Расследование инцидентов на промышленных предприятиях
-
Проблема
Производители продуктов и решений для АСУ ТП и Интернета вещей разрабатывают и внедряют в эти продукты и решения механизмы защиты от кибератак. Правильно спроектированные механизмы соответствуют целям безопасности системы и не влияют негативно на ее работу. Как продемонстрировать потребителю, что продукт защищен достаточным образом, а значит имеет конкурентное преимущество?
-
Навыки
Уou will be able to analyze and exploit the hardware and software attack surface of IoT devices
-
Для кого
People with a security background
Для правильного реагирования на киберинциденты в инфраструктуре промышленных предприятий, включая инциденты, которые могли затронуть системы в технологической сети, и инциденты, причиной которых стали целевые атаки, требуется опыт и знание экспертов, которые способны:
- Обнаружить и досконально исследовать образцы нового, ранее неизученного вредоносного ПО, использованного в атаке, – это поможет составить список индикаторов компрометации для поиска затронутых атакой систем, лучше оценить потенциальные возможности злоумышленников, сделать предположения о степени компрометации сети организации и получить множество новых сведений для продолжения расследования.
- Обнаружить и проанализировать информацию о вредоносной инфраструктуре, использованной в атаке, – это поможет найти дополнительные индикаторы компрометации, выявить системы, затронутые атакой, и может послужить одним из оснований для атрибуции атаки.
- Правильно атрибутировать атаку к деятельности тех или иных злоумышленников.
- Обнаружить и исследовать деятельность злоумышленников в атаках на другие организации – это может дать ценную информацию о потенциале, возможных целях и технических средствах злоумышленников и соответствующим образом скорректировать процесс реагирования на инцидент и общий ход расследования.
- Безопасным для работы предприятия способом собрать информацию как с IT- так и с ОT-систем – с учётом экспертных знаний об их работе, особенностях и важных ограничениях.
- Проанализировать возможности негативного влияния обнаруженного вредоносного инструментария на работу систем технологической сети и потенциальные связи с со сбоями в работе оборудования, если такие наблюдались.
- Разработать эффективные средства обнаружения инструментария злоумышленников и сбора информации, необходимой для расследования, – совместимые с работой как IT-, так и OT-систем предприятия.
- По собранным данным обнаружить и восстановить следы вредоносной активности, спрятанные и затёртые злоумышленниками в процессе их деятельности в сети предприятия.
- Проанализировать собранные данные и восстановить максимально точную картину развития атаки, выявить её первопричину и основные обстоятельства, повлиявшие на её развитие.
- Обнаружить, изучить и описать проблемы безопасности предприятия, использованные злоумышленниками в атаке, либо обнаруженные экспертами в ходе расследования инцидента, включая уязвимости в программно-аппаратных комплексах, ошибки их конфигурации, проблемы сетевой безопасности, некорректные настройки средств зашиты, недостатки практик и процедур обеспечения безопасности или пробелы осведомлённости сотрудников об угрозе и о правилах общей кибергигиены.
- На основании информации, полученной в ходе расследования, знаний о тактиках, техниках и арсенале злоумышленников, опыта организации защиты от подобных атак подготовить с учётом специфики предприятия рекомендации эффективных мер и средств обеспечения безопасности, адекватных угрозе.
Что мы предлагаем
Эксперты Kaspersky ICS CERT оказывают оперативную помощь в расследовании и ликвидации последствий киберинцидентов на промышленных предприятиях.
Ответим на вопросы:
- Что произошло?
- Какие активы пострадали и какой ущерб им нанесен?
- Почему произошёл инцидент?
- Как злоумышленникам удалось проникнуть в сеть предприятия, какие инструменты и какие проблемы безопасности они использовали?
- Как устранить последствия инцидента и минимизировать убытки?
- Как предотвратить подобные инциденты в будущем?
Разработаем план внедрения мер защиты
Поможем минимизировать последствия инцидента и предотвратить наиболее тяжёлые из них:
-
Штрафные санкции со стороны регуляторов
-
Потеря прибыли и упущенные деловые возможности
-
Потеря доверия клиентов и репутации компании
-
Повреждение оборудования и потеря доступа к критически важной информации
-
Угроза жизни людей и ущерба окружающей среде
Как мы работаем
-
Вы сообщаете об инциденте
Сообщить об инциденте на нашем сайте (или написать по почте)
-
Мы даём рекомендации по выявлению всех активов, которые оказались затронуты инцидентом, и сдерживанию атаки
В течение 24 часов мы связываемся с вами:
-
Собираем цифровые улики
Выезжаем на место происшествия для сбора цифровых улик или консультируем, как сделать это самостоятельно
-
Проводим расследование
Как правило, в процессе расследования инцидента необходимо решать следующие задачи:
-
Помогаем ликвидировать последствия инцидента
Предоставляем инструкции по возвращению систем предприятия к нормальной работе, при необходимости разрабатываем утилиты для поиска скомпрометированных систем и удаления вредоносного инструментария.
-
Готовим подробный отчёт
В отчете разъясняем результаты анализа собранных материалов и выявленных фактов.
Как правило, весь объем работ занимает от семи дней до месяца в зависимости от масштаба, технической сложности инцидента и степени готовности пострадавшей организации к совместным оперативным и слаженным действиям.