Услугите за реагиране при инциденти са насочени към организации, които са били жертва на кибератака или които към този момент са изправени пред такава. За разлика от разследването, реакцията при инциденти е предназначена да предложи възможно най-бързото предприемане на действия в отговор на кибератака. Естеството на тази услуга предполага, че на екипа по киберсигурност следва да бъде предоставен пълен достъп и сътрудничество от страна на съответните технически лица в организацията.

Услугата съчетава бързо и надеждно разследване на конкретен инцидент с оценка на риска и въздействието на последствията. Целта на услугата е да осигури надеждно ограничаване на заплахата и като такава тя включва следните етапи:

incident_response_graphic_bg

По-конкретно, фазите включват следното:

Стъпка 1
Ограничаване на достъпа до системата само за лицата, които разследват инцидента с цел избягване на външна намеса по време на извършване на услугата;

Стъпка 2
Анализиране на състоянието на системата, интегритет на файловете, съдържание в базата данни, общи настройки на компрометираната система и други;

Стъпка 3
Идентификация и премахване на злонамерено съдържание или други следи от злонамерена дейност вследствие на атаката (файлове, вмъкнат злонамерен код, промени по базата данни и други);

Стъпка 4
Идентифициране на уязвимостта, отговорна за пробива, с цел препоръка за приложим и надежден начин за отстраняването ѝ;

Стъпка 5
Финализиране на фазата по премахване на злонамерените следи и възстановяване на системата до първоначалното ѝ състояние на употреба;

Процесът на възстановяване може да е различен в зависимост от конкретния случай. При услуга като реакцията при инциденти, е задължително на нашите експерти да бъде предоставена колкото се може повече информация. Това ще подпомогне анализа и ще послужи като първоначална стъпка към останалите фази на услугата.

В повечето случаи, информация, която се изисква включва данни от последните няколко часа, дни или седмици. Възможно е, в зависимост от спецификата на атаката, да са необходими и по-стари данни. Информацията може да включва файлове за достъп, дати на модификация на файлове, анализ на злонамереното съдържание и друга техническа информация. Важно е да се отбележи, че в случай на пробив не трябва да се предприемат действия без присъствието или надзора на експерт по киберсигурност защото това може да възпрепятства разследването и да презапише важна информация.

Ограничаването на въздействието от пробива и осигуряването на надеждна изолация са от ключова важност при тази услуга. Въпреки това, за цялостно и задълбочено разследване препоръчваме да се разгледа нашата услугата за разследване на инциденти (forensics).