Расследование инцидентов на промышленных предприятиях

  • Проблема

    Проблема

    Производители продуктов и решений для АСУ ТП и Интернета вещей разрабатывают и внедряют в эти продукты и решения механизмы защиты от кибератак. Правильно спроектированные механизмы соответствуют целям безопасности системы и не влияют негативно на ее работу. Как продемонстрировать потребителю, что продукт защищен достаточным образом, а значит имеет конкурентное преимущество?

  • Навыки

    Навыки

    Уou will be able to analyze and exploit the hardware and software attack surface of IoT devices

  • Для кого

    Для кого

    People with a security background

Материалы

Вернуться к началу

Для правильного реагирования на киберинциденты в инфраструктуре промышленных предприятий, включая инциденты, которые могли затронуть системы в технологической сети, и инциденты, причиной которых стали целевые атаки, требуется опыт и знание экспертов, которые способны:

  • Обнаружить и досконально исследовать образцы нового, ранее неизученного вредоносного ПО, использованного в атаке, – это поможет составить список индикаторов компрометации для поиска затронутых атакой систем, лучше оценить потенциальные возможности злоумышленников, сделать предположения о степени компрометации сети организации и получить множество новых сведений для продолжения расследования.
  • Обнаружить и проанализировать информацию о вредоносной инфраструктуре, использованной в атаке, – это поможет найти дополнительные индикаторы компрометации, выявить системы, затронутые атакой, и может послужить одним из оснований для атрибуции атаки.
  • Правильно атрибутировать атаку к деятельности тех или иных злоумышленников.
  • Обнаружить и исследовать деятельность злоумышленников в атаках на другие организации – это может дать ценную информацию о потенциале, возможных целях и технических средствах злоумышленников и соответствующим образом скорректировать процесс реагирования на инцидент и общий ход расследования.
  • Безопасным для работы предприятия способом собрать информацию как с IT- так и с ОT-систем – с учётом экспертных знаний об их работе, особенностях и важных ограничениях.
  • Проанализировать возможности негативного влияния обнаруженного вредоносного инструментария на работу систем технологической сети и потенциальные связи с со сбоями в работе оборудования, если такие наблюдались.
  • Разработать эффективные средства обнаружения инструментария злоумышленников и сбора информации, необходимой для расследования, – совместимые с работой как IT-, так и OT-систем предприятия.
  • По собранным данным обнаружить и восстановить следы вредоносной активности, спрятанные и затёртые злоумышленниками в процессе их деятельности в сети предприятия.
  • Проанализировать собранные данные и восстановить максимально точную картину развития атаки, выявить её первопричину и основные обстоятельства, повлиявшие на её развитие.
  • Обнаружить, изучить и описать проблемы безопасности предприятия, использованные злоумышленниками в атаке, либо обнаруженные экспертами в ходе расследования инцидента, включая уязвимости в программно-аппаратных комплексах, ошибки их конфигурации, проблемы сетевой безопасности, некорректные настройки средств зашиты, недостатки практик и процедур обеспечения безопасности или пробелы осведомлённости сотрудников об угрозе и о правилах общей кибергигиены.
  • На основании информации, полученной в ходе расследования, знаний о тактиках, техниках и арсенале злоумышленников, опыта организации защиты от подобных атак подготовить с учётом специфики предприятия рекомендации эффективных мер и средств обеспечения безопасности, адекватных угрозе.

Что мы предлагаем

Эксперты Kaspersky ICS CERT оказывают оперативную помощь в расследовании и ликвидации последствий киберинцидентов на промышленных предприятиях.

Ответим на вопросы:

  • Что произошло?
  • Какие активы пострадали и какой ущерб им нанесен?
  • Почему произошёл инцидент?
  • Как злоумышленникам удалось проникнуть в сеть предприятия, какие инструменты и какие проблемы безопасности они использовали?
  • Как устранить последствия инцидента и минимизировать убытки?
  • Как предотвратить подобные инциденты в будущем?

Разработаем план внедрения мер защиты

Поможем минимизировать последствия инцидента и предотвратить наиболее тяжёлые из них:

  • Штрафные санкции со стороны регуляторов

  • Потеря прибыли и упущенные деловые возможности

  • Потеря доверия клиентов и репутации компании

  • Повреждение оборудования и потеря доступа к критически важной информации

  • Угроза жизни людей и ущерба окружающей среде

Как мы работаем

  1. Вы сообщаете об инциденте

    Сообщить об инциденте на нашем сайте (или написать по почте)

  2. Мы даём рекомендации по выявлению всех активов, которые оказались затронуты инцидентом, и сдерживанию атаки

    В течение 24 часов мы связываемся с вами:

  3. Собираем цифровые улики

    Выезжаем на место происшествия для сбора цифровых улик или консультируем, как сделать это самостоятельно

  4. Проводим расследование

    Как правило, в процессе расследования инцидента необходимо решать следующие задачи:

  5. Помогаем ликвидировать последствия инцидента

    Предоставляем инструкции по возвращению систем предприятия к нормальной работе, при необходимости разрабатываем утилиты для поиска скомпрометированных систем и удаления вредоносного инструментария.

  6. Готовим подробный отчёт

    В отчете разъясняем результаты анализа собранных материалов и выявленных фактов.

Как правило, весь объем работ занимает от семи дней до месяца в зависимости от масштаба, технической сложности инцидента и степени готовности пострадавшей организации к совместным оперативным и слаженным действиям.

Заказать услугу