Получение письма с недоверенного адреса с подозрительным вложением, установка средств удаленного управления, добавление пользователя в привилегированную группу, организация канала связи с рабочей станции, находящейся за рубежом — лишь часть событий ИБ, с которыми регулярно сталкивается CISO крупной компании. Любой из этих инцидентов может стать критическим и привести к взлому организации и остановке бизнес-процессов. Для обеспечения комплексной безопасности компаниям необходимо не просто мониторить все ИТ-активы, но и обеспечивать своевременное реагирование на атаки, не давая злоумышленникам возможности закрепиться в инфраструктуре и остаться незамеченными.

Технологии в составе решения

Мониторинг и реагирование на киберинциденты

Система мониторинга SIEM

Реагирование на конечных точках

Система раннего обнаружения злоумышленника

Анализ защищенности инфраструктуры

SIEM-система позволяет увидеть целостную картину происходящего в ИТ-инфраструктуре.
Каждое устройство, используемое внутри компании, генерирует журналы событий. SIEM собирает, нормализует и коррелирует эти данные согласно правилам обнаружения инцидентов, сокращая время аналитиков на обработку событий ИБ и позволяя выявлять аномалии.

При обнаружении подозрительной активности специалисты RED Security SOC связываются с
сотрудниками ИБ клиента и дают подробные рекомендации по работе с предполагаемым
инцидентом (изоляция «пораженного» хоста, блокировка сетевой атаки или учетной записи
пользователя и пр.).

EDR-агенты позволяют обнаружить вредоносную активность на конечных точках (серверах, рабочих станциях и т. д.) и оперативно отреагировать на инцидент, не дав злоумышленнику возможность закрепиться внутри инфраструктуры компании, а в дальнейшем развить горизонтальную атаку с целью зашифровать данные, украсть конфиденциальную информацию или остановить бизнес-процессы.

При доступе к консоли управления EDR клиента команда аналитиков RED Security может отреагировать на инцидент внутри ИТ-инфраструктуры клиента: изолировать зараженный хост, купировать атаку и помочь провести ретроспективный анализ.

Deception включает в себя расстановку ловушек и приманок в ИТ-инфраструктуре, они в свою
очередь сигнализируют о попытках злоумышленника проникнуть в инфраструктуру заказчика, вводят хакера в заблуждение, сбивают с цели и тормозят развитие атаки. Ложные данные размещаются в различных частях инфраструктуры, эмулируя часть внутренней сети и преднамеренно оставляя «уязвимости» на сетевых устройствах. Все это позволяет ускорить процесс реагирования на инциденты за счет увеличения областей выявления атак.

Специалисты RED Security помогут создать карту ловушек, интегрировать их с SIEM-системой,
зафиксировать движение хакера и на основании этих данных обогатить корреляционные правила.

Комплекс мероприятий, позволяющий оценить степень защищенности внешнего периметра и внутренней инфраструктуры компании. С его помощью вы сможете определить текущее состояние уровня вашей информационной безопасности, принять меры по устранению имеющихся уязвимостей, которые могут быть проэксплуатированы злоумышленниками, и выстроить векторы дальнейшего развития ИБ.

В результате вы получите детальный отчет, содержащий в себе перечень методик и тактик,
примененных в рамках анализа защищенности инфраструктуры и подробное описание найденных уязвимостей с рекомендациями по их устранению.

Преимущества

Обеспечим оперативное реагирование на киберинциденты силами опытной команды RED Security

Минимизируем риски реализации таргетированной атаки

Обеспечим мониторинг и эксплуатацию уже имеющейся у клиента SIEM-системы

Обеспечим подключение к ГосСОПКА

Кастомизируем контент SOC для улучшения детектирующей логики с помощью компетенций аналитиков уровня L3, TI и Threat Hunting

Поможем оптимизировать ресурсы внутренней команды ИБ заказчика, взяв на себя мониторинг L1-L2

Хотите обеспечить комплексную безопасность?

Свяжитесь с нами

Вы сможете

Минимизировать риски взлома ИТ-инфраструктуры, остановки бизнес-процессов и шифрования данных

Повысить эффективность процессов, скорость реагирования и блокировки целевых атак и вредоносного ПО (вкл. шифровальщики)

Опираться на данные расширенной статистики для анализа текущей ситуации в ИБ и принятия эффективных решений

Выбрать оптимальную для вашей компании модель поставки (MSS/гибрид) и систему тарификации (за месяц, квартал, год)

Снизить нагрузку на собственную команду ИБ для решения оперативных задач

Снизить издержки на программные и аппаратные мощности при облачной модели подключения

Выполнить требования регуляторов в части мониторинга и подключения к ГосСОПКА

Примеры использования

Промышленная компания столкнулась с таргетированной атакой, при которой пострадала большая часть ИТ-инфраструктуры. Атака осталась без должного внимания по причине небольшого штата специалистов ИБ и разрозненных средств защиты информации

Ситуация

Решение

Результат

В следствие инцидента инфраструктура была зашифрована, бизнес-процессы компании частично остановились из-за невозможности использования ИТ-систем. Злоумышленники потребовали выкуп в размере нескольких десятков миллионов рублей. В срочном порядке компания клиента обратилась к RED Security.

В срочном порядке специалисты RED Security приступили к поиску источника компрометации, ликвидации последствий атаки и дешифровке данных, параллельно начав подключение наиболее критичных систем к центру мониторинга и реагирования (SOC).

Большая часть данных клиента была восстановлена. Последствия атаки были устранены. Проведен анализ инфраструктуры заказчика на предмет оставленных злоумышленниками «закладок».

Далее совместно с командой ИБ заказчика, специалисты RED Security разработали план последовательного подключения ИТ-инфраструктуры к SOC, включая развертывание EDR-агентов для возможности реагирования на киберинциденты силами аналитиков со стороны центра мониторинга кибербезопасности.