УСЛУГИ
ПАРТНЕРЫ
КОМПАНИЯ
Сообщить об инциденте
ПРОДУКТЫ
CICADA8 ETM
Cicada8 Dependency Firewall
CICADA8 cyber rating
CICADA8 VM
CICADA8 OFFENSIVE
CICADA8 COMPROMISE ASSESSMENT
CICADA8 DFIR
CICADA8 consulting
БЛОГ
КОНТАКТЫ
ДЕЯТЕЛЬНОСТЬ

CICADA8 DFIR

Digital Forensics
& Incident Response

Услуги по реагированию на инциденты кибербезопасности и их расследованию
Получить консультацию

CICADA8 dfir

Digital Forensics
& Incident Response

Услуги по реагированию на инциденты кибербезопасности и их расследованию
Получить консультацию

Рекомендации по предотвращению повторного инцидента

Предлагаем конкретные меры по усилению защиты, устранению уязвимостей и корректировке процессов реагирования

Доказательная база для официальных процедур

Предоставляем технически обоснованные материалы для передачи в правоохранительные органы, страховые компании и регуляторные органы

Уверенность в том, что угроза устранена

Подтверждаем факт отсутствия злоумышленника в инфраструктуре, скрытых механизмов доступа и следов повторной компрометации

Понимание причин и хода инцидента

Устанавливаем, как именно злоумышленник проник в инфраструктуру, что позволило ему закрепиться, повысить привилегии, и как развивалась атака во времени

Всё, что нужно знать об инциденте

Как происходит:

1

Обнаружение и оценка

Выявление активной атаки в реальном времени (подтверждение, определение масштаба атаки и т. д.)

2

Сдерживание угрозы

Разработка первичных рекомендаций для остановки атаки, предотвращения дальнейшего ущерба

3

Ликвидация и восстановление

Удаление вредоносного кода и закладок, восстановление данных из резервных копий, возврат систем в рабочее состояние и т. д.

4

Минимизация ущерба

Снижение финансовых, репутационных и операционных потерь

5

Анализ

Исследование собранных данных с целью понимания причин, хода инцидента, его последствий

6

Рекомендации

Предотвращение подобных инцидентов в будущем

2

INCIDENT RESPONSE

Фокус

Действие

Временные рамки

Realtime

Цель

Нейтрализовать угрозу

Как происходит:

1

Сбор доказательств

Сохранение данных (логи, дампы памяти, образы дисков) с соблюдением юридических процедур (chain of custody)

2

Анализ произошедшего

Реконструкция событий, глубокое изучение данных — когда, при каких обстоятельствах и что произошло

3

Подготовка доказательств

Документирование доказательств для судебных разбирательств или страховых кейсов

4

Профилактика

Конкретные рекомендации по устранению уязвимостей, корректировки бизнес-процессов, устранению любых выявленных недостатков

1

Digital Forensics

Фокус

Анализ

Временные рамки

Postmortem

Цель

Изучить причины произошедшего и собрать доказательства

Когда важно знать, что произошло — и что делать дальше

Финансовые преступления
Хищение криптовалюты
Мошенничество через онлайн-банкинг
Атаки на банкоматы
Внедрение в электронную переписку (BEC-атаки)
Атаки с вредоносным ПО
Шифровальщики
Стилеры
Бэкдоры
Бот-сети для DDoS-атак
Атаки через подрядчиков
Хищение данных
Фишинг и кража учетных данных
Компрометация учетных записей
Инсайдерские угрозы
Промышленный шпионаж

Направления работ CICADA8 DFIR

Этапы оказания услуги DFIR

1

Установочная встреча

Определяем цели, формат взаимодействия и согласовываем скоуп работ

2

Сбор данных

Извлекаем и фиксируем цифровые артефакты: логи, триажи (наборы криминалистических артефактов), дампы памяти, сетевой трафик, образы дисков и другие источники информации

3

Исследование данных

Проводим анализ собранных данных: от восстановления хронологии событий до выявления аномалий и следов (признаков) атак

4

Уточнение контекста

Совместно с командой заказчика определяем характер и значение выявленных событий с точки зрения кибербезопасности

5

Формирование отчёта и рекомендации

Подготавливаем структурированный отчёт с выводами и конкретными рекомендациями по улучшению кибербезопасности и предотвращению повторных инцидентов

Что входит в отчёт?
Что входит в отчёт?
Финальная версия отчёта согласовывается и адаптируется под нужды заказчика (при необходимости передачи в правоохранительные органы, взаимодействия с регуляторами и т. д.)
Список исследованных систем и источников данных
Хронология инцидента
Результаты обратной разработки вредоносного ПО
Предпринятые меры по реагированию и их эффект
Индикаторы компрометации (IoC)
Рекомендации по повышению уровня кибербезопасности, в том числе меры по предотвращению повторных инцидентов

Сторонние сервисы

E-mail-платформы, файловые хранилища, SaaS — всё, где может происходить атака или утечка

Облачная инфраструктура

Объекты в публичных и гибридных облаках: логи доступа, журналы действий, сетевые события

Межсетевые экраны (NGFW)

Проверка правил, журналов, сигнатур и обходов

Сетевое оборудование

Включая ASA, NetScaler и другие шлюзы и балансировщики

Гипервизоры

ESXi, Hyper-V и отечественные платформы виртуализации

Серверы

Анализ артефактов операционных систем, журналов приложений и следов доступа

Рабочие станции и ноутбуки

Конечные точки, где чаще всего начинается или развивается атака

DFIR-исследование охватывает всю критически важную ИТ-инфраструктуру:

Охват исследования

Будьте готовы в любой момент

Подписка на реагирование CICADA8

Подписка на реагирование – это возможность мгновенного реагирования на инцидент без лишнего документооборота и с уже подготовленной позиции. По сути, это подписка на услуги CICADA8, которую можно использовать в любой момент.

Как происходит:

1

Эксперты проводят предварительную оценку инфраструктуры

2

Подписываются все необходимые документы

3

Подписка активирована

Оставить заявку

Трансформация угроз

Развитие ландшафта киберугроз, спровоцированное переходом на удаленную работу, рост числа атак:
  • эксплуатирующих веб-уязвимости и угадываемые пароли (RDP, RDG);
  • эксплуатирующих уязвимости на периметре (ProxyLogon, ProxyShell);
  • использующих социальную инженерию в контексте COVID-19.
Увеличение ущерба от атак шифровальщиков.
Громкие атаки на цепочки поставок программного обеспечения.
2020-2021
Резкий рост числа политически мотивированных кибератак на российские организации.
Рост числа атак, где данные шифруются или уничтожаются, без требования выкупа.
Резкий рост числа атак, использующих громкие политические события для социальной инженерии или доставки вредоносных программ.
2022
Выявление массовых атак на мобильные устройства с применением уязвимостей нулевого дня.
Атаки через доверительные отношения (через подрядчиков, обслуживающих ИТ-системы или их компоненты).
«Захват» внешних ИТ-активов (облачные диски, другие сторонние сервисы) для закрепления доступа.
2023
Значительный рост числа атак через доверительные отношения (операторы шифровальщиков «распробовали» этот вектор).
Еще больший рост числа атак, где целью является нанесение максимального ущерба потерпевшему, а не финансовая выгода атакующего.
Громкие кейсы с попытками внедрения атакующих через процессы найма.
2024
особенности 2025:
Шифрование без требования выкупа.
Смещение фокуса с финансовой выгоды в сторону хактивизма и нанесения максимального ущерба.
Атаки через доверительные отношения становятся обыденностью, наличие доступа к ИТ-подрядчику перестает быть чем-то эксклюзивным, атаки становятся «грубее».
«Легкое» повышение привилегий через типовые ошибки конфигурации.
Использование ИИ для отдельных этапов кибератак.
2025

Навести порядок в цифровом хаосе

Нажимая на кнопку «Зарегистрироваться», я выражаю свое согласие на обработку персональных данных

Партнерам

© 2025 Cicada8. Все права защищены
Политика обработки ПД
Политика обработки файлов cookie