W Instytucji Specjalistycznej VS DATA powołaliśmy zespół Szybkiego Reagowania dedykowany do obsługi incydentów naruszenia bezpieczeństwa systemów informatycznych.
Oferta
Obsługa incydentów
Jak działamy?
Zespół Rapid Response to trzecia linia wsparcia w reagowaniu na incydenty bezpieczeństwa przekraczające możliwości zaatakowanej organizacji. Członkowie zespołu zabezpieczają i analizują dowody i ślady ataku, zatrzymują i usuwają incydent, ograniczają zagrożenie oraz przywracają dane i infrastrukturę.
Zgodnie z zaleceniami amerykańskiego instytutu NIST, którego polskim odpowiednikiem jest National Cybersecurity Standard NSC 800-61, reagowanie na incydenty powinno przebiegać w następujących etapach:
Przygotowanie - Wykrywanie incydentów - Reagowanie na incydenty - Analiza incydentów
1
Przygotowanie
Na etapie przygotowań wysiłki koncentrują się w obszarze prewencji i budowania zdolności reagowania na incydenty, które mogą wystąpić w przyszłości. Obejmuje to również budowanie świadomości użytkowników systemów informatycznych organizacji – szkolenia z zakresu cyberhigieny i właściwego reagowania na sytuacje potencjalnie niebezpieczne, a także zwiększanie kompetencji wewnętrznego zespołu IT w zakresie właściwego reagowania na incydenty bezpieczeństwa.
2
Wykrywanie incydentów
Na tym etapie ustalane jest, czy zidentyfikowane zdarzenie jest rzeczywiście incydentem naruszenia bezpieczeństwa. W przypadku potwierdzenia ślady i dowody są zbierane i wstępnie analizowane w celu prawidłowej klasyfikacji zdarzenia, a następnie odpowiedniej reakcji.
Na tym etapie zabezpieczany jest również materiał, z zachowaniem łańcucha dowodowego, który może stanowić podstawę analiz na potrzeby dalszego postępowania m.in. administracyjne (w zakresie RODO) i karne. Niezwykle ważne jest właściwe postępowanie z dowodami elektronicznymi w celu zachowania ciągłości łańcucha dowodowego. Tylko wtedy zebrane materiały będą miały wartość dowodową.
Bez zabezpieczenia materiału do dalszych analiz nie jest możliwe udzielenie rzetelnej odpowiedzi na pytania dotyczące naruszenia danych osobowych, w szczególności nieuprawnionego dostępu i kradzieży danych (wycieku), ani na pytania kontrahentów – czy i jakie tajemnice ich firmy zostały naruszone (np. czy wyciekły specyfikacje techniczne produktów, które nie zostały jeszcze wprowadzone do sprzedaży).
3
Reagowanie na incydent
Oznacza to zatrzymanie incydentu, w zależności od jego rodzaju, usunięcie jego skutków oraz przywrócenie ciągłości działania zaatakowanej organizacji. Na tym etapie wdrażane są odpowiednie środki techniczne i organizacyjne minimalizujące ryzyko wystąpienia niepożądanego zdarzenia w przyszłości, w tym: ponowna instalacja i rekonfiguracja środowiska informatycznego zaatakowanej organizacji.
4
Analiza incydentu
Jest to jeden z najważniejszych kroków w postępowaniu z incydentem. Jej właściwe postępowanie może i powinno służyć do wyciągania wniosków i dalszej poprawy bezpieczeństwa systemów informatycznych w organizacji.
Kontakt z nami: [email protected], tel. +48 500 16 26 36
Grafika przedstawia 10 kroków zabezpieczenia danych na potrzeby analizy powłamaniowej.

Oszacuj, które elementy infrastruktury (urządzenia i systemy) są dotknięte incydentem.
Oddziel / odłącz zainfekowaną infrastrukturę od Internetu.
Łącza dostępowe do Internetu należy fizycznie odłączyć od routera brzegowego lub wyłączając odpowiednie interfejsy urządzenia.
Nie wyłączaj samych urządzeń! Nie uruchamiaj ponownie i nie wyłączaj!
Pozostaw włączone aplikacje, systemy i urządzenia, aby gromadzić ulotne dane.
Wyświetl szczegółowe informacje o systemie operacyjnym, konfiguracji sieci i połączeniach, uruchomionych procesach, usługach, zaplanowanych zadaniach, informacjach o użytkownikach.
Zabezpiecz pamięć RAM uruchomionej maszyny.
Wyłącz urządzenia – wykonaj binarną kopię nośnika z partycją systemową.
Zabezpiecz dzienniki z dostępnych urządzeń sieciowych.
Nie wykonuj analiz na zainfekowanym urządzeniu!
Nie zacieraj śladów instalując nowe oprogramowanie, nadpisując dane, skanując programem antywirusowym.
Przygotuj raport z informacją o zdarzeniu i podjętych działaniach.
Przekaż do odpowiedniego specjalisty w celu przeprowadzenia analizy śledczej.
Do pobrania
SSC 800-61 National Cybersecurity Standard:
Handbook for Handling Computer Security Incidents (October 2021).