Reagowanie na incydenty
Najistotniejszym aspektem usługi SOC / CERT są kompetencje technicznego zespołu, ponieważ to od poziomu wiedzy specjalistów będzie zależało cyberbezpieczeństwo organizacji.
Na świecie szeroko uznana została tzw. piramida bólu, która określa jakie kompetencje są najtrudniejsze do zdobycia, w zakresie zarówno wykrywnia ataków (threat hunting) jak i reagowania na incydenty. Na szczycie piramidy jako najbardziej niedostępne, a zarazem najbardziej porządane znajdują się aspekty w jaki sposób działają cyberprzestępcy (TTPs) oraz z jakich narzędzi korzystają (ang. Tools) – tą wiedzę z nawiązką pokrywa zespół REDTEAM.PL. Z kolei wiedza o artefaktach systemowych wynika wprost z realnego doświadczenia w informatyce śledczej oraz pełnieniu funkcji biegłych sądowych – zarówno przez zespół ForSec jak i REDTEAM.PL.
Ponadto firma ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, w którym każdego miesiąca realizowane są dziesiątki analiz śledczych, w tym wydawane są opinie biegłych sądowych. Z kolei wiedza o sieciowych artefaktach wynika wprost z tworzenia przez REDTEAM.PL oprogramowania typu IDS / NIDS (ang. Network Intrusion Detection System) o nazwie RedEye, które to w unikalny sposób wykrywa ataki przeprowadzane w sieci lokalnej. Informacje o złośliwych domenach, adresach IP oraz hashach (IOC) dostarczane są przez nasz system CTI (Cyber Threat Intelligence), do którego trafiają informacje we współpracy z innymi międzynarodowymi zespołami reagowania na incydenty. Jesteśmy jedynym w kraju zespołem SOC, który składa się z ekspertów informatyki śledczej oraz ofensywnego cyberbezpieczeństwa.
Informatyka śledcza
ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, o wartości kilku milionów złotych, w którym prowadzimy kilkadziesiąt spraw miesięcznie. Na laboratorium składa się szereg profesjonalnego i certyfikowanego oprogramowania (m.in. FTK Forensic Toolkit oraz X-Ways Forensics) oraz sprzętu do informatyki śledczej (m.in. blokery sprzętowe, kopiarki dysków Logicube, produkty Cellebrite), pozwalającego należycie zabezpieczyć i przeanalizować materiał dowodowy z wielu nośników jednocześnie. Zespół terenowy laboratorium wykonuje zabezpieczenia cyfrowych dowodów (kopie binarne) na obszarze całego kraju w trybie 24/7. Jesteśmy w stanie zabezpieczyć materiał dowodowy nawet w pięciu lokalizacjach jednocześnie. Od wielu lat zajmujemy się również szkoleniami z zakresu informatyki śledczej oraz technik hackingu.
Incydent bezpieczeństwa
Hakerskie włamanie? Atak cyberprzestępców? Nieuczciwy pracownik działający na szkodę przedsiębiorstwa? Naruszenie bezpieczeństwa danych osobowych? Pełnimy funkcję biegłych sądowych oraz posiadamy kilkanaście lat eksperckiego doświadczenia. Każdego dnia pomagamy organizacjom w skutecznym odpieraniu cyberataków. Zajmujemy się badaniem śladów aktywności, analizą powłamaniową, analizą incydentów, analizą logów, zdarzeń i pamięci RAM.
W przypadku wystąpienia incydentu najistotniejszą czynnością jest poprawne zabezpieczenie śladów. Nie rekomendujemy dokonywania zabezpieczenia przez osoby bez stosownego doświadczenia z zakresu informatyki śledczej. Nieudolne próby zabezpieczenia danych prowadzą do nadpisania potencjalnie istotnych informacji oraz naruszenia integralności materiału dowodowego. Prawidłowe zabezpieczenie cyfrowych śladów pozwala na wnikliwą analizę incydentu i umożliwia ustalenie szczegółów jak do niego doszło oraz jakie operacje dokonywał atakujący. W przypadku jeśli materiał dowodowy nie zostanie prawidłowo zabezpieczony to systemowe artefakty wraz z upływem czasu ulegają zatarciu – nawet jeśli użytkownik nie wykonuje na nim operacji, a system po prostu działa. Natomiast wyłączenie komputera z pominięciem wcześniejszego prawidłowego zabezpieczenia prowadzi do bezpowrotnej utraty danych ulotnych (ang. volatile data), które przechowywane są w pamięci systemu operacyjnego, a które to mogą zawierać istotne informacje dla analizy incydentu.
Jesteśmy w stanie prawidłowo zabezpieczyć materiał dowodowy przez osoby na co dzień pełniące funkcje biegłych sądowych, jak również należycie go przeanalizować za pomocą specjalistycznego sprzętu i oprogramowania w połączeniu z najwyższymi kompetencjami z zakresu informatyki śledczej i reagowania na incydenty. Posiadamy największe w kraju laboratorium cyfrowej kryminalistyki, które każdego miesiąca analizuje kilkadziesiąt spraw zarówno dla organów ścigania jak i prywatnych organizacji. Jesteśmy w stanie fizycznie, na terenie całego kraju i nie tylko, zabezpieczyć cyfrowe dowody przez prawidłowe wykonanie kopii binarnych z wykorzystaniem specjalistycznego sprzętu gwarantującego nienaruszalność materiału dowodowego.
Monitorowanie środowiska IT
Cyfrowe bezpieczeństwo to dziś podstawa funkcjonowania praktycznie każdej firmy i dlatego najważniejsza jest szybkość reakcji. W naszym SOC wspomagamy się technologiami dynamicznej ochrony, która służy do wykrywania nowych, nigdy wcześniej nie występujących rodzajów zagrożeń (unikalne próbki przy targetowanych atakach). Każda nowa próbka automatycznie analizowana jest w sandboxie, który symuluje zachowanie użytkownika, aby oszukać techniki mające na celu uniknięcie wykrycia złośliwego oprogramowania.
RedEye jest naszego autorstwa oprogramowaniem typu IDS / NIDS (ang. Network Intrusion Detection System) posiadającym szereg unikalnych reguł detekcji, które zostały przygotowane na bazie wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. RedEye umożliwia wykrycie początkowych faz ataku w sieci lokalnej organizacji, zanim dojdzie do jego eskalacji, w tym wycieków informacji oraz zatarcia śladów obecności cyberprzestępcy. Nasze narzędzie pozwala na detekcję ataków, które nie są wykrywane przez oprogramowanie antywirusowe oraz endpoint protection / EDR. Rozwiązanie RedEye oferujemy wraz z usługą stałego monitorowania środowiska IT w postaci outsourcingu SOC.
W przypadku jeśli klient posiada juz wdrożone oprogramowanie typu SIEM to wykorzystujemy je w naszej pracy (ze szczególnym uwzględnieniem Splunk oraz ELK). Natomiast jeśli klient nie posiada systemu SIEM to wdrażamy go w ramach świadczenia usługi SOC.
Zajmujemy się również kwestiami takimi jak: testy bezpieczeństwa (testy penetracyjne), skany podatności i zarządzanie podatnościami oraz DLP.
Jesteśmy nastawieni nie tylko na wykrywanie zewnętrznych zagrożeń (m.in. szpiegostwa gospodardczego / szpiegostwa przemysłowego) ale również wewnętrznych intruzów (np. pracownika działającego na szkodę przedsiębiorstwa).