SOC

Security Operations Center (SOC)

Wychodzimy do Państwa z ofertą usługi SOC-as-a-Service, outsourcingu zespołu SOC / CERT w którego skład wchodzi konsorcjum dwóch rozpoznawalnych eksperckich firm – ForSec oraz REDTEAM.PL. Dzięki połączeniu wieloletniego doświadczenia z zakresu zarówno informatyki śledczej, reagowania na incydenty jak i autoryzowanych symulacji ataków potrafimy skutecznie zadbać o cyberbezpieczeństwo organizacji.

Wyślij zapytanie

Usługa SOC as-a-Service (SOCaaS)

Jesteśmy zgranym zespołem współpracującym ze sobą od niemal dekady czego następstwem jest powstanie konsorcjum oferującego wysokiej jakości usługi SOC oraz CERT / CSIRT. Firma ForSec zajmuje się realizacją zadań I oraz II linii specjalistów (triage specialist, incident responder, informatyk śledczy), natomiast firma REDTEAM.PL odpowiada za III, ostatnią linię ekspertów SOC (threat hunter) oraz zespół CERT. Dla klientów abonamentowych nasz zespół SOC działa w trybie 24/7/365.

Od kilkunastu lat jesteśmy związani z cyberbezpieczeństwem i informatyką śledczą, posiadamy wysokie kompetencje z zakresu zarówno defensywnych (blue team) jak i ofensywnych (red team) aspektów cyberbezpieczeństwa oraz prawdziwe laboratorium informatyki kryminalistycznej. Dzięki temu jesteśmy w stanie zaoferować światowej klasy usługę monitoringu bezpieczeństwa IT.

CERT / CSIRT

REDTEAM.PL CERT (RFC 2350) jest członkiem międzynarodowej organizacji Trusted Introducer zrzeszającej uznane zespoły reagowania na incydenty. Ponadto REDTEAM.PL jest również wyszczególniony na oficjalnej witrynie Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) jako polski zespół reagowania na incydenty (CERT / CSIRT).

Praktyczna analiza powłamaniowa

Posiadamy realne kompetencje z zakresu analizy powłamaniowej, których efektem jest uznana publikacja naukowa o tytule “Praktyczna analiza powłamaniowa” (2017) wydana przez Wydawnictwo Naukowe PWN. Lider III linii SOC, Adam Ziaja jest także współautorem niespełna dziesięciu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CERT / CSIRT opublikowanych w latach 2013-2014, m.in. na temat informatyki śledczej oraz threat huntingu (proaktywne wyszukiwanie zagrożeń) i threat intelligence (wyszukiwanie zagrożeń z wykorzystaniem białego wywiadu).

Wiemy w jaki sposób cyberprzestępcy przełamują zabezpieczenia ponieważ od ponad dekady przeprowadzamy autoryzowane symulacje ataków (whitehat), w postaci testów penetracyjnych oraz red teamingu, których celem jest znalezienie najsłabszych punktów w organizacji – dokładnie tak samo jak robią to prawdziwi atakujący.

Dzięki połączeniu ofensywnych i defensywnych kompetencji jesteśmy w stanie zaoferować wysoką jakość realizowanych usług cyberbezpieczeństwa.

Threat hunting i threat intelligence

Threat hunting oraz threat intelligence to zagadnienia, którymi zajmujemy się od dekady. Posiadamy realne techniczne kompetencje i dokonania związane z proaktywnym wyszukiwaniem zagrożeń jak i zaawansowaną analizą incydentów, w tym światowej klasy ataków APT (ang. Advanced Persistent Threat).

W 2019 roku badania REDTEAM.PL doprowadziły do ujawnienia globalnego ataku badWPAD, którego ofiarami byli użytkownicy milionów komputerów na całym świecie. Nasze badanie zostało wyróżnione przez amerykański instytut SANS oraz otrzymaliśmy podziękowania od narodowych zespołów reagowania na incydenty m.in. Polski (CERT Polska, raport roczny 2019 str. 61/62), Estonii (CERT-EE) i Łotwy (CERT-LV). W 2020 roku opisaliśmy TTPs (ang. Tactics, Techniques, and Procedures) oraz IOC zaawansowanych ataków APT, które zostały przez nas zidentyfikowane i przeanalizowane – m.in. grupy cyberprzestępcze Sodinokibi / REvil oraz Black Kingdom. Efektem naszych działań była szeroko zakrojona współpraca z międzynarodowymi organami ścigania (również w roli biegłych sądowych).

Potrafimy nie tylko przeanalizować podatności 0-day (słabość oprogramowania na którą nie istnieją jeszcze poprawki bezpieczeństwa) ale również je znaleźć. Tylko na przełomie 2019/2020 roku otrzymaliśmy od firmy Google liczne podziękowania oraz łączną nagrodę wysokości $68,000 za zidentyfikowane i odpowiedzialnie zgłoszone podatności w przeglądarce Chrome. Ponadto w wyniku znalezionej przez nas podatności w mechanizmach firmy Apple pisały o nas światowe media, m.in. magazyn Forbes oraz ponownie zostaliśmy wyróżnieni przez amerykański instytut SANS – tym razem za badania ofensywne. Posiadamy również szereg podziękowań dostępnych na oficjalnych stronach internetowych podmiotów, którym już niespełna dekadę temu odpowiedzialnie zgłosiliśmy luki w zabezpieczeniach m.in. Adobe (2014), Apple (2012), BlackBerry (2012), Deutsche Telekom, Google (2013), Harvard University, Netflix (2013), Nokia (2013), Reddit, SoundCloud, Yandex (2013). Jesteśmy rozpoznawalnymi ekspertami, którzy od kilkunastu lat z powodzeniem zajmują się technicznymi aspektami cyberbezpieczeństwa.

Detekcja sieciowych zagrożeń

Typowe produkty do wykrywania sieciowych ataków nasłuchują komunikacji, a do detekcji wykorzystują setki wcześniej zdefiniowanych reguł. Podstawową wadą takiego rozwiązania jest brak zrozumienia dla większości zgłaszanych ostrzeżeń. Liczne alerty pojawiają się niezależnie od tego czy atak ma miejsce czy też nie. W ten sposób pomimo posiadania systemów bezpieczeństwa atak często pozostaje niezauważony, gdyż nie jest dostrzegany w gąszczu setek ostrzeżeń, które pojawiają się stale w produkcyjnym środowisku.

Hakerzy w trakcie ataków wykorzystują natywne mechanizmy systemów Windows w celu uzyskania poświadczeń. Oprogramowanie antywirusowe nie wykrywa obecności atakującego, który loguje się jako użytkownik. Detekcja oprogramowania antywirusowego polega na analizie działania oprogramowania, a nie użytkownika. Cyberprzestępcy wykorzystują to i wykonują ataki nie na podatne oprogramowanie, co z dużym prawdopodobieństwem mogłoby zostać wykryte przez systemy typu EDR (ang. Endpoint Detection and Response) lub SOAR (ang. Security Orchestration, Automation, and Response), ale na standardowe mechanizmy systemów Windows. Tego typu ataki nie są wykrywane przez zainstalowane na stacjach klienckich oprogramowanie, ponieważ wykonywane są na poziomie sieci wewnętrznej pomiędzy stacjami znajdującymi się w domenie Windows. W ten sposób grupy APT (ang. Advanced Persistent Threat) są w stanie uzyskać dostęp do danych pomimo posiadania przez organizację różnego rodzaju mechanizmów zabezpieczających stacje robocze.

Zaimplementowane w oprogramowaniu RedEye podejście firmy REDTEAM.PL do wyszukiwania zagrożeń bazuje na znajomości technik ataków (TTPs) oraz narzędzi wykorzystywanych przez zaawansowanych adwersarzy. Jest to jedyne rozwiązanie, które może wykryć zaawansowane ataki na środowisko Windows i usługę Active Directory (AD) bez konieczności posiadania agenta lub uprawnień. Dzięki zrozumieniu zarówno aspektów ofensywnych jak i defensywnych w oprogramowaniu RedEye zaimplementowane są reguły pozwalające wykryć ataki, które nie są identyfikowane przez oprogramowanie typu EDR. Z tego względu rozwiązanie RedEye stanowi uzupełnienie do oprogramowania antywirusowego i pokrewnych rozwiązań.

Badania cyberbezpieczeństwa

Zespół ekspertów REDTEAM.PL opublikował na techblogu liczne artykuły na temat technicznych aspektów cyberbezpieczeństwa:

Jako jedyny polski zespół SOC łączymy realne i wysokie kompetencje zarówno z zakresu ataku jak i obrony, a nasze badania cyberbezpieczeństwa są szeroko uznane na świecie.

Reagowanie na incydenty

Najistotniejszym aspektem usługi SOC / CERT są kompetencje technicznego zespołu, ponieważ to od poziomu wiedzy specjalistów będzie zależało cyberbezpieczeństwo organizacji. Na świecie szeroko uznana została tzw. piramida bólu, która określa jakie kompetencje są najtrudniejsze do zdobycia, w zakresie zarówno wykrywnia ataków (threat hunting) jak i reagowania na incydenty. Na szczycie piramidy jako najbardziej niedostępne, a zarazem najbardziej porządane znajdują się aspekty w jaki sposób działają cyberprzestępcy (TTPs) oraz z jakich narzędzi korzystają (ang. tools) – tą wiedzę z nawiązką pokrywa zespół REDTEAM.PL. Z kolei wiedza o artefaktach systemowych wynika wprost z realnego doświadczenia w informatyce śledczej oraz pełnieniu funkcji biegłych sądowych – zarówno przez zespół ForSec jak i REDTEAM.PL. Ponadto firma ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, w którym każdego miesiąca realizowane są dziesiątki analiz śledczych, w tym wydawane są opinie biegłych sądowych. Z kolei wiedza o sieciowych artefaktach wynika wprost z tworzenia przez REDTEAM.PL oprogramowania typu IDS / NIDS (ang. Network Intrusion Detection System) o nazwie RedEye, które to w unikalny sposób wykrywa ataki przeprowadzane w sieci lokalnej. Informacje o złośliwych domenach, adresach IP oraz hashach (IOC) dostarczane są przez nasz system CTI (Cyber Threat Intelligence), do którego trafiają informacje we współpracy z innymi międzynarodowymi zespołami reagowania na incydenty. Jesteśmy jedynym w kraju zespołem SOC, który składa się z ekspertów informatyki śledczej oraz ofensywnego cyberbezpieczeństwa.

Informatyka śledcza

ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, o wartości kilku milionów złotych, w którym prowadzimy kilkadziesiąt spraw miesięcznie. Na laboratorium składa się szereg profesjonalnego i certyfikowanego oprogramowania (m.in. FTK Forensic Toolkit oraz X-Ways Forensics) oraz sprzętu do informatyki śledczej (m.in. blokery sprzętowe, kopiarki dysków Logicube, produkty Cellebrite), pozwalającego należycie zabezpieczyć i przeanalizować materiał dowodowy z wielu nośników jednocześnie. Zespół terenowy laboratorium wykonuje zabezpieczenia cyfrowych dowodów (kopie binarne) na obszarze całego kraju w trybie 24/7. Jesteśmy w stanie zabezpieczyć materiał dowodowy nawet w 5 lokalizacjach jednocześnie. Od wielu lat zajmujemy się również szkoleniami z zakresu informatyki śledczej oraz technik hackingu.

Laboratorium

Incydent bezpieczeństwa

Hakerskie włamanie? Atak cyberprzestępców? Nieuczciwy pracownik działający na szkodę przedsiębiorstwa? Naruszenie bezpieczeństwa danych osobowych? Pełnimy funkcję biegłych sądowych oraz posiadamy kilkanaście lat eksperckiego doświadczenia. Każdego dnia pomagamy organizacjom w skutecznym odpieraniu cyberataków. Zajmujemy się badaniem śladów aktywności, analizą powłamaniową, analizą incydentów, analizą logów, zdarzeń i pamięci RAM.

Hakerskie włamanie, i co teraz?

W przypadku wystąpienia incydentu najistotniejszą czynnością jest poprawne zabezpieczenie śladów. Nie rekomendujemy dokonywania zabezpieczenia przez osoby bez stosownego doświadczenia z zakresu informatyki śledczej. Nieudolne próby zabezpieczenia danych prowadzą do nadpisania potencjalnie istotnych informacji oraz naruszenia integralności materiału dowodowego. Prawidłowe zabezpieczenie cyfrowych śladów pozwala na wnikliwą analizę incydentu i umożliwia ustalenie szczegółów jak do niego doszło oraz jakie operacje dokonywał atakujący. W przypadku jeśli materiał dowodowy nie zostanie prawidłowo zabezpieczony to systemowe artefakty wraz z upływem czasu ulegają zatarciu – nawet jeśli użytkownik nie wykonuje na nim operacji, a system po prostu działa. Natomiast wyłączenie komputera z pominięciem wcześniejszego prawidłowego zabezpieczenia prowadzi do bezpowrotnej utraty danych ulotnych (ang. volatile data), które przechowywane są w pamięci systemu operacyjnego, a które to mogą zawierać istotne informacje dla analizy incydentu.

Jesteśmy w stanie prawidłowo zabezpieczyć materiał dowodowy przez osoby na co dzień pełniące funkcje biegłych sądowych, jak również należycie go przeanalizować za pomocą specjalistycznego sprzętu i oprogramowania w połączeniu z najwyższymi kompetencjami z zakresu informatyki śledczej i reagowania na incydenty. Posiadamy największe w kraju laboratorium cyfrowej kryminalistyki, które każdego miesiąca analizuje kilkadziesiąt spraw zarówno dla organów ścigania jak i prywatnych organizacji. Jesteśmy w stanie fizycznie, na terenie całego kraju i nie tylko, zabezpieczyć cyfrowe dowody przez prawidłowe wykonanie kopii binarnych z wykorzystaniem specjalistycznego sprzętu gwarantującego nienaruszalność materiału dowodowego.

Monitorowanie środowiska IT

Cyfrowe bezpieczeństwo to dziś podstawa funkcjonowania praktycznie każdej firmy i dlatego najważniejsza jest szybkość reakcji. W naszym SOC wspomagamy się technologiami dynamicznej ochrony, która służy do wykrywania nowych, nigdy wcześniej nie występujących rodzajów zagrożeń (unikalne próbki przy targetowanych atakach). Każda nowa próbka automatycznie analizowana jest w sandboxie, który symuluje zachowanie użytkownika, aby oszukać techniki mające na celu uniknięcie wykrycia złośliwego oprogramowania.

RedEye jest naszego autorstwa oprogramowaniem typu IDS / NIDS (ang. Network Intrusion Detection System) posiadającym szereg unikalnych reguł detekcji, które zostały przygotowane na bazie wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. RedEye umożliwia wykrycie początkowych faz ataku w sieci lokalnej organizacji, zanim dojdzie do jego eskalacji, w tym wycieków informacji oraz zatarcia śladów obecności cyberprzestępcy. Nasze narzędzie pozwala na detekcję ataków, które nie są wykrywane przez oprogramowanie antywirusowe oraz endpoint protection / EDR. Rozwiązanie RedEye oferujemy wraz z usługą stałego monitorowania środowiska IT w postaci outsourcingu SOC.

W przypadku jeśli klient posiada juz wdrożone oprogramowanie typu SIEM to wykorzystujemy je w naszej pracy (ze szczególnym uwzględnieniem Splunk oraz ELK). Natomiast jeśli klient nie posiada systemu SIEM to wdrażamy go w ramach świadczenia usługi SOC.

Zajmujemy się również kwestiami takimi jak: testy bezpieczeństwa (testy penetracyjne), skany podatności i zarządzanie podatnościami oraz DLP.

Jesteśmy nastawieni nie tylko na wykrywanie zewnętrznych zagrożeń (m.in. szpiegostwa gospodardczego / szpiegostwa przemysłowego) ale również wewnętrznych intruzów (np. pracownika działającego na szkodę przedsiębiorstwa).

Adam Ziaja

Lider trzeciej linii SOC / CERT oraz ekspert cyberbezpieczeństwa REDTEAM.PL. Posiada szerokie techniczne kompetencje z zakresu zarówno defensywnych jak i ofensywnych aspektów cyberbezpieczeństwa. Autor książki “Praktyczna analiza powłamaniowa” oraz współautor wielu publikacji ENISA. Posiada uznane techniczne certyfikaty z zakresu cyberbezpieczeństwa: Offensive Security Certified Professional (OSCP) – od 2015 roku, Offensive Security Wireless Professional (OSWP), eLearnSecurity Web application Penetration Tester (eWPT), Certificate X-Ways Forensics. Jest biegłym sądowy z listy Sądu Okręgowego w Warszawie.

Daniel Suchocki

Lider pierwszej i drugiej linii SOC oraz ekspert informatyki śledczej ForSec. Od ponad 15 lat zawodowo zajmuje się informatyką kryminalistyczną oraz analizą cyfrowych dowodów. Autor szkoleń z zakresu informatyki śledczej i hackingu. Posiada uznane techniczne certyfikaty z zakresu cyberbezpieczeństwa i informatyki śledczej: EC-Council Certified Ethical Hacker (CEH), Cellebrite Certified Physical Analyst (CCPA), Cellebrite Certified Logical Operator (CCLO), Certificate X-Ways Forensics. Jest biegłym sądowy z listy Sądu Okręgowego w Katowicach.

Copyright © 2017-2020 REDTEAM.PL All Rights Reserved