РАССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ: УСЛУГИ И РЕШЕНИЯ ! Настоящий документ был подготовлен Group-IB исключительно в информационных целях и содержит только краткие справочные данные о продуктах и услугах компании. Настоящий каталог не является офертой, публичной офертой, равно как и коммерческим предложением в какой-либо форме. Более подробную информацию о продуктах и услугах компании можно получить, обратившись к представителям Group-IB. Любое распространение всего документа или его части допускается лишь с письменного разрешения Group-IB. При цитировании документа ссылка на источник заимствования обязательна. 2 3 Регулярно на современном рынке компании подвергаются кибератакам. С ростом уровня информатизации бизнеса многократно увеличивается уровень возможных финансовых потерь и рисков, а для киберпреступников растет привлекательность получения противозаконного заработка. При этом «гонка вооружений», которую ведут компании, действующие в России, закупая в целях защиты от новых угроз все больше ИБ-решений, постепенно теряет эффективность. Предусмотреть все информационные риски невозможно, а растущий парк оборудования и программного обеспечения нужно постоянно поддерживать. Стоимость владения и управления инфраструктурой неуклонно растет, что ведет к неоправданным издержкам. Наиболее эффективным решением для бизнеса на сегодня является комплексная защита, обеспечивающая баланс превентивных и сдерживающих мер, позволяющий обеспечить экономию и максимальную отдачу от вложения средств. Время только экстенсивной защиты постепенно приходит к концу. Для получения конкурентных преимуществ необходимо не только защищаться, но и эффективно Активный рост количества преступлений в сфере информационных реагировать на инциденты информационной безопасности. Зача- технологий приходится именно на Россию. Ключевым фактором стую, обеспечив качественное и эффективное реагирование стремительной эволюции и развития преступности в области высо- и управление инцидентами, организация может получить выгоды, ких технологий является слабая юридическая база в сфере квалифи- а не ущерб. кации действий и преследования хакеров в правовом поле. Это приводит к ощущению безнаказанности для «виртуальных» мошенников. Расследование инцидентов ИБ — уникальный для России комплекс Из-за неразвитой правоприменительной практики в области рассле- услуг, предоставляемый компанией Group-IB. Данный комплекс дования компьютерных преступлений такие инциденты информа- обеспечивает организации, подвергшейся несанкционированному ционной безопасности (ИБ) зачастую предпочитают скрывать, что воздействию на информационные активы, неотвратимость наказа- дополнительно стимулирует активность киберпреступников. ния злоумышленников за совершенные правонарушения и высокую вероятность возмещения ущерба, тем самым существенно снижая Сегодня в России расследование киберпреступлений затруднено. финансовые и репутационные риски. Этому способствует и новизна сферы, и специфика преступлений, и малочисленный состав подразделений органов внутренних дел, ответственных за расследования, а также ряд других факторов. В то же время суммы финансовых потерь увеличиваются. Например, убытки от противоправных действий киберпреступников в рамках дистанционного банковского обслуживания клиентов в среднем для одного банка составляют более 10 млн рублей в год. В сложившихся условиях российский рынок невольно становится центром развития киберпреступности. По экспертным оценкам, в 2011 году оборот Основанная в 2003 году международная компания Group-IB — рынка компьютерной преступности в России составил 2,3 млрд дол- лидер российского рынка в области расследования компьютерных ларов. При этом ответственность за свои действия в среднем несут преступлений — оказывает полный комплекс услуг по расследова- только 5—7 преступников, что не составляет даже 0,1 % от общего нию компьютерных преступлений, начиная от оперативного реаги- количества киберпреступлений. Это, в свою очередь, является фак- рования на инцидент и заканчивая постинцидентным консалтин- тором роста числа новых противоправных действий. гом. Входит в состав LETA Group. 4 5 Group-IB оказывает следующий спектр услуг в сфере расследований компьютерных преступлений и информационной безопасности: Group-IB предоставляет заказчикам не только уникальный состав, но и уровень сервиса. Высокие показатели работы компании достигаются за счет: Реагирование на инциденты ИБ в круглосуточном режиме. Профессионализма и компетентности сотрудников, подтвер- Расследование компьютерных преступлений, в том числе мошен- жденных международными сертификатами в области информа- ничеств в системах интернет-банкинга. ционной безопасности и компьютерной криминалистики. Предотвращение DDoS-атак. Уникальной базы знаний, накопленной за многолетнюю практику Выявление и блокирование фишинговых сайтов. реагирования и расследования. Выявление в сети Интернет информации об организациях, про- Собственных криминалистической и антивирусной лабораторий; тив которых готовятся либо совершались кибератаки. профессионального дорогостоящего оборудования и экспертного Компьютерно-технические экспертизы электронных носителей уровня его применения. информации и электронно-вычислительных машин. Наличия собственно распределенной сети специальных програм- Идентификация и анализ вредоносного программного обеспечения мно-аппаратных комплексов Honey Net, направленные на отсле- с целью определения его алгоритма, функционала живание действий компьютерных злоумышленников и методов и совершаемых сетевых взаимодействий. совершения преступлений. Восстановление данных с любых электронных носителей. Продолжительной и эффективной совместной работы с правоох- Правовое сопровождение вопросов, связанных с использованием ранительными органами различных государств. информационных технологий и расследованием компьютерных Сотрудничества с различными независимыми организациями преступлений. по расследованию киберпреступлений в 52 странах мира, что Комплексный и специализированный аудит информационной обеспечивает оперативное получение необходимой информа- безопасности. ции по инцидентам, совершенным международными группами компьютерных преступников. Партнерств с производителями уникального программного и программно-аппаратного обеспечения в области информационной безопасности и компьютерной криминалистики. Все работы проводятся в соответствии с законодательством РФ на базе опыта международных организаций по расследованию инцидентов ИБ, борьбе с компьютерной преступностью и кибертерроризмом. Group-IB — единственная компания, которая предлагает услуги обеспечения информационной безопасности в режиме «24х7х365». Заключения экспертов Group-IB по результатам проведения расследований, компьютерных экспертиз и криминалистических исследований соответствуют всем требованиям законодательства РФ На базе Group-IB осуществляет свою деятельность CERT-GIB, кругло- и гарантированно принимаются в судах России. суточный центр быстрого реагирования на инциденты информационной безопасности. Миссией данной структуры является осущест- Специалисты Group-IB постоянно проходят обучение по новейшим вление сбора данных об инцидентах, а также координация ответных методикам расследования инцидентов ИБ и борьбе с киберпреступ- мероприятий, направленных на снижение финансового ностью, вовлечены в регулярный процесс обмена опытом и реко- и репутационного ущерба. мендациями с мировым профессиональным сообществом. 6 7 Расследования инцидентов ИБ Первичный консалтинг ➔ Реагирование на инцидент ➔ Сбор цифровых доказательств ➔ Криминалистическая экспертиза ➔ Проведение расследования ➔ Представление интересов в правоохранительных и судебных органах Юридические услуги Защита авторских и смежных прав в сети Интернет ➔ Коммерческая тайна: юридическая поддержка и сопровождение ➔ Защита изображения человека в сети Интернет ➔ Защита бренда в сети Интернет ➔ Защита чести в сети Интернет ➔ Достоинства и деловой репутации в сети Интернет ➔ Доменные споры ➔ Персональные данные: юридическая поддержка и сопровождение ➔ Дистанционное банковское обслуживание: юридическая поддержка и сопровождение Аудит и анализ Комплексный аудит информационной безопасности ➔ Исследование вредоносного кода ➔ Аудит на соответствие требованиям стандартов ИБ ➔ Аудит программного обеспечения ➔ Анализ защищенности WEB-приложений ➔ Тесты на проникновение — Penetration testing ➔ Анализ защищенности программного обеспечения ➔ Анализ защищенности инфраструктуры сети ➔ Анализ защищенности беспроводной и мобильной инфраструктуры ➔ Анализ защищенности АСУ ТП Интеграционные услуги Построение СОИБ/СУИБ ➔ Построение систем управления инцидентами ИБ ➔ Интеграция DLP-систем ➔ Интеграция защищенного автоматизированного рабочего места клиента ДБО ➔ Подключение к системе защиты от DDоS-атак ➔ Восстановление данных Превентивные меры BrandPointProtection ➔ Botnet Monitoring ➔ Antiphishing ➔ FraudMonitor Расследования инцидентов ИБ 8−9 Услуга Состав работ Результат Преимущества Уровень 1 Консультирование в режиме 24х7 о мерах, необходимых для остановки инцидента, сохранения доказательной информации и снижения ущерба. Оперативный выезд специалистов на место инцидента (при необходимости). Разработка и помощь в реализации плана реагирования на инцидент. Устранение критичных уязвимостей. Сбор информации об инциденте и определение источников хранения доказательной информации по инциденту. Извлечение переписки (электронная почта, программы мгновенного обмена сообщениями). Сбор имеющихся доказательств в виде компьютерной информации, их сохранение и оформление в соответствии с нормами законодательства РФ. Разработка плана и набора рекомендаций по расследованию инцидента. Доказательная информация, собранная и сохраненная в соответствии с требованиями законодательства. Полный отчет об инциденте. Пакет документов для передачи в правоохранительные органы. Опечатанные машинные носители информации, которые можно приобщить к уголовному делу в качестве доказательств. Скопированные криминалистически значимые данные, которые можно использовать для проведения криминалистической экспертизы и внутреннего расследования инцидента информационной безопасности. Комплект документов, подтверждающих факты изъятия машинных носителей информации и копирования данных. Минимизация ущерба. Снижение издержек по устранению последствий. Полнота, независимость и достоверность информации по инциденту. Корректно оформленные материалы. Возможность проведения криминалистического исследования и комплексного расследования. Установление целостности (неизменности) содержимого машинных носителей информации после их изъятия. Криминалистическое исследование мобильных устройств, баз данных, дампов сетевого трафика, дампов оперативной памяти, скиминговых устройств, криптоконтейнеров, всех других цифровых доказательств. Анализ переписки (электронная почта, программы обмена сообщениями). Поиск и исследование вредоносного программного обеспечения, выявление и исследование панелей управления вредоносным программным обеспечением и бот-сетями с целью получения доказательств их причастности к инциденту. Поиск следов предположительно несанкционированного доступа. Восстановление хронологии событий в информационной системе. Восстановление данных (при необходимости). Выявление причин произошедшего инцидента. Поиск следов причастности внутренних сотрудников. Оформление необходимых документов, связанных с фиксацией произошедшего инцидента, которые в дальнейшем могут быть использованы при обращении, как в правоохранительные, так и в судебные органы. Консультации по сфере компетенции правоохранительных органов, в которые необходимо передать заявление и все необходимые документы. Подготовка текста заявления и пакета необходимых документов для подачи в соответствующие правоохранительные или судебные органы. Заключение специалиста (для исследований, проводимых на основании запросов правоохранительных органов и договоров с юридическими и физическими лицами). Заключение эксперта (для исследований, проводимых на основании постановлений о назначении судебных экспертиз от судов и правоохранительных органов). Обоснованная оценка полноты и всесторонности проведенного криминалистического исследования и научной обоснованности использованных методик исследования компьютерной информации. Юридически правильное заявление в правоохранительные органы о произошедшем инциденте информационной безопасности. Представление интересов при проведении проверочных мероприятий и процессуальных действий. Рекомендации по дальнейшему правовому преследованию злоумышленников. Юридическая значимость заключений и возможность их дальнейшего использования в рамках судебных процессов. Корректно оформленные материалы. Полный объем информации по заданным характеристикам. Выявление недобросовестных сотрудников (инсайдеров). Независимость и достоверность полученных данных. Точность и полнота выводов. Экономия времени. Выявление лиц, причастных к инциденту. Участие специалистов в оперативно-разыскных мероприятиях и следственных действиях. Грамотно оформленный пакет необходимых документов, содержащий, в том числе, восстановленную хронологию событий, подробное описание этапов расследования с подтверждающими материалами, идентификационные данные лиц, причастных к инциденту, и фактическую информацию по их местонахождению. Выявление лиц, причастных к инциденту, дает возможность их дальнейшего судебного преследования. Консультации по всем вопросам, связанным с нарушением прав в сфере информационных технологий. Помощь в оформлении документов для защиты интересов заказчика и последующей их передаче в компетентные правоохранительные, надзорные и регулирующие органы, а также суды. Представление интересов в правоохранительных органах. Сопровождение проверки и расследования с момента подачи заявления до момента возбуждения уголовного дела или передачи дела с обвинительным заключением в суд. Представление интересов в рамках уголовного, гражданского и арбитражного процессов на различных этапах судебного разбирательства, в том числе апелляции и кассации. Грамотно оформленный пакет необходимых документов. Юридически правильное заявление в правоохранительные органы о произошедшем инциденте информационной безопасности. Представление интересов при проведении всех процессуальных действий на стадиях расследования и судебного разбирательства. Экономия времени. Восстановление справедливости и репутации. Возможность компенсации нанесенного ущерба. Первичный консалтинг. Реагирование на инцидент. Сбор цифровых доказательств Уровень 2 Криминалистическая экспертиза Уровень 3 Проведение расследования Уровень 4 Представление интересов в правоохранительных и судебных органах. 10−11 Юридические услуги Услуга Состав работ Результат Преимущества Дистанционное банковское обслуживание: юридическая поддержка и сопровождение Оценка, разработка и оптимизация следующей организационнораспорядительной документации: Договор о предоставлении услуги «Дистанционное банковское обслуживание». Перечень электронных документов, используемых в системе дистанционного банковского обслуживания. Заявление на подключение к услуге «Дистанционное банковское обслуживание». Уведомление об изменении параметров подключения к услуге «Дистанционное банковское обслуживание». Акт о приеме-передаче ключевых носителей, программного обеспечения и средств криптографической защиты информации. Акт о вводе в действие услуги «Дистанционное банковское обслуживание». Заявление на выполнение работ по сопровождению системы дистанционного банковского обслуживания. Другие документы. Полный пакет организационнораспорядительной документации, связанной с дистанционным банковским обслуживанием. Высококвалифицированное решение юридических вопросов. Повышение надежности использования дистанционного банковского обслуживания. Коммерческая тайна: юридическая поддержка и сопровождение Оценка, разработка и оптимизация следующей организационнораспорядительной документации: Перечень информации, составляющей коммерческую тайну. Положение о коммерческой тайне. Должностные инструкции. Перечень лиц, имеющих доступ к информации, составляющей коммерческую тайну. Типовые формы договоров, приложений, а также дополнительных соглашений к ранее заключенным трудовым договорам для регулирования порядка обращения работников с информацией, составляющей коммерческую тайну. Полный пакет документов, Снижение бизнес-рисков. регулирующий обращение коммерческой Возможность привлечения тайны в организации, а также оценка к ответственности виновных уже существующего. в разглашении коммерческой тайны Установление режима коммерческой и компенсации нанесенного ущерба. тайны в организации. Персональные данные: юридическая поддержка и сопровождение Оценка, разработка и оптимизация следующей организационнораспорядительной документации, затрагивающей процессы обработки и защиты персональных данных: Положение «О ролях и об ответственности за обработку и защиту персональных данных». Приказ «Об обеспечении безопасности персональных данных, обрабатываемых в компании». Положение «Об обработке персональных данных». Регламент предоставления прав доступа к персональным данным. Регламент реагирования на запросы субъектов персональных данных. Регламент проведения классификации информационных систем персональных данных. Регламент проведения контрольных мероприятий по защите персональных данных. Регламент учета, хранения и уничтожения носителей персональных данных. Регламент резервного копирования персональных данных. Регламент взаимодействия с органами власти по вопросам защиты и обработки персональных данных. Регламент реагирования на инциденты информационной безопасности в информационных системах персональных данных. Инструкция работника по правилам обработки персональных данных. Инструкция администратора по организации парольной защиты в системах обработки персональных данных. Формы согласия субъектов на обработку персональных данных. Получение независимой оценки степени выполнения требований существующего законодательства в сфере обработки и защиты персональных данных. Полный пакет документов, полностью отвечающих требованиям регуляторов и законодательства в сфере хранения и обработки персональных данных. Обеспечение надежной защиты персональных данных от действий третьих лиц и сотрудников организации. Устранение правовых, финансовых и репутационных рисков, связанных с невыполнением требований ФЗ-152 и регуляторов. Повышение уровня доверия со стороны клиентов. Защита авторских и смежных прав в сети Интернет Консультации по вопросам защиты авторских и смежных прав. Оказание юридической поддержки при получении и оформлении доказательной информации. Представление интересов на этапе досудебного урегулирования, участие в переговорах со стороной, потенциально нарушающей права и законные интересы заказчика. Представление интересов в рамках гражданского судопроизводства. Представление интересов в рамках уголовного судопроизводства. Устранение нарушений интересов заказчика. Привлечение нарушителей к ответственности. Минимизация финансовых и репутационных рисков вплоть до возмещения причиненного ущерба. Высококвалифицированная защита интересов правообладателя Корректно оформленные материалы Восстановление справедливости и репутации Возможность компенсации нанесенного ущерба Защита изображения человека в сети Интернет Консультирование по вопросам защиты изображения человека в сети Интернет. Оказание юридической поддержки при получении и оформлении доказательной информации. Подготовка и подача в суд иска о защите изображения граждан и компенсации морального вреда. Представительство в судах общей юрисдикции. Устранение нарушений интересов заказчика. Привлечение нарушителей к ответственности. Минимизация финансовых и репутационных рисков вплоть до возмещения причиненного ущерба. Высококвалифицированная защита интересов правообладателя Корректно оформленные материалы Восстановление справедливости и репутации Возможность компенсации нанесенного ущерба Защита бренда в сети Интернет Консультации по вопросам нарушения прав на товарный знак. Оказание юридической поддержки при получении и оформлении доказательной информации при нарушении прав на товарный знак. Представление интересов на этапе досудебного урегулирования, участие в переговорах со стороной, потенциально нарушающей права и законные интересы заказчика. Представление интересов в рамках гражданского судопроизводства. Представление интересов в рамках уголовного судопроизводства. Устранение нарушений интересов заказчика. Привлечение нарушителей к ответственности. Минимизация финансовых и репутационных рисков вплоть до возмещения причиненного ущерба. Высококвалифицированная защита интересов правообладателя Корректно оформленные материалы Восстановление справедливости и репутации Возможность компенсации нанесенного ущерба Защита чести, достоинства и деловой репутации в сети Интернет Консультирование по вопросам защиты чести, достоинства и деловой репутации в сети Интернет. Оказание юридической поддержки при получении и оформлении доказательной информации. Представление интересов на этапе досудебного урегулирования, участие в переговорах со стороной, являющейся нарушителем прав и законных интересов. Подготовка и подача в суд иска о защите чести, достоинства и деловой репутации и компенсации морального вреда. Представительство в арбитражных судах и судах общей юрисдикции. Устранение нарушений интересов заказчика. Привлечение нарушителей к ответственности. Минимизация финансовых и репутационных рисков вплоть до возмещения причиненного ущерба. Высококвалифицированная защита интересов правообладателя Корректно оформленные материалы Восстановление справедливости и репутации Возможность компенсации нанесенного ущерба Доменные споры Консультации по вопросам нарушения прав на доменное имя. Оказание юридической поддержки при получении всех необходимых документов для подтверждения прав на доменное имя. Представление интересов на этапе досудебного урегулирования, участие в переговорах со стороной, потенциально нарушающей права и законные интересы заказчика. Представление интересов в судах на территории Российской Федерации. Представление интересов в Арбитражном центре ВОИС (г. Женева, Швейцария). Устранение нарушений интересов заказчика. Привлечение нарушителей к ответственности. Минимизация финансовых и репутационных рисков вплоть до возмещения причиненного ущерба. 12−13 Аудит и анализ Услуга Состав работ Результат Преимущества Комплексный аудит информационной безопасности Анализ нормативно-регламентной базы и используемых организационнотехнических средств защиты объекта информатизации, его автоматизированных систем и информационных систем, входящих в их состав. Опрос ответственных лиц персонала (специалисты бизнес-подразделений, специалисты по защите информации, администраторы информационной безопасности, кадровый менеджмент). Уточнение значимых информационных, экономических и репутационных активов заказчика, разработка модели угроз информационной безопасности и уточнение модели нарушителя. Анализ защищенности инфраструктуры заказчика c использованием специальных программно-технических средств, проведение экспертного теста на проникновение (penetration testing) для обоснования возможности реализации выделенных угроз информационной безопасности. Результатом комплексного аудита информационной безопасности является отчет, содержащий следующие сведения: Перечень информационных ресурсов заказчика. Описание процессов управления ИБ и управления ИТ в части обеспечения ИБ. Описание процессов обеспечения непрерывности функционирования. Описание имеющейся системы нормативных, организационно-распорядительных документов и действующих организационных мер в области обеспечения ИБ в (в том числе документации, касающейся взаимодействия между подразделениями заказчика и сторонними организациями, имеющими непосредственное отношение к обеспечению информационной безопасности). Описание объектов, на которых размещены основные компоненты (АС, ИС службы и сервисы, АРМ, ЛВС, прикладное и общесистемное обеспечение, средства защиты информации). Описание вышеприведенных областей в отчете содержит информацию об уязвимостях ИБ, обнаруженных в этих областях в ходе обследования и анализа собранной информации. Модель угроз безопасности. Модель нарушителя. Перечень основных мер противодействия выявленным угрозам. Результаты оценки рисков (карта рисков). План обработки рисков. Получение объективной оценки уровня защищенности любого учреждения или предприятия от вероятных угроз информационной безопасности. Независимый аудит дает основу для дальнейшего определения стратегии развития системы информационной безопасности. Исследование вредоносного кода Определение алгоритма вредоносной программы. Извлечение из вредоносной программы списка управляющих серверов. Документирование функциональных особенностей вредоносной программы (например, особенностей ее взаимодействия с системами дистанционного банковского обслуживания). Определение и документирование реализованных в программе способов противодействия криминалистическому исследованию и обнаружению. Документирование изменений, вносимых программой в системный реестр и файловую систему в целом. Определение и описание иных действий программы с информацией, которые могут иметь значение для уголовного дела. Исследование конфигурационных файлов и дополнительных программных модулей, загружаемых вредоносной программой из Интернета (при необходимости). Корреляция полученной информации с другими экземплярами вредоносных программ. Заключение специалиста, оформленное с учетом требований законодательства, содержащее: Описание алгоритма вредоносной программы, ее функциональных особенностей, а также осуществляемых программой сетевых взаимодействий. Описание дополнительных программных модулей и конфигурационных файлов, загружаемых из сети Интернет. Рекомендации по использованию полученных сведений в целях расследования инцидента информационной безопасности. Возможность исследования вредоносных программ с учетом особых требований конфиденциальности (блокирование любых сетевых взаимодействий программы с узлами злоумышленника). Выявление замаскированных функциональных возможностей программы (недекларированных возможностей). Аудит на соответствие требованиям стандартов ИБ Оценка соответствия требованиям стандарта ЦБ РФ СТО БР ИББС. Оценка соответствия требованиям BS10012, ISO 27001. Осуществление экспертной оценки сетевой инфраструктуры на соответствие рекомендациям по архитектуре сетевой безопасности Cisco SAFE. Оценка соответствия рекомендательным требованиям из лучших практик области (best practices) в зависимости от специфики бизнеса заказчика. Приведение нормативнорегламентной документации и организационно-технической базы в однозначное соответствие требованиям регуляторов и ведущих стандартов отрасли. Гармонизация имеющихся подходов к обеспечению информационной безопасности заказчика с лучшими мировыми практиками. Cовершенствование механизмов защиты информации с учетом практически значимых аспектов их обеспечения. Cохранение конкурентоспособности, доходности, прибыльности и хорошей репутации за счет обеспечения конфиденциальности, целостности и доступности информационных ресурсов. Соответствие законодательным, нормативным правовым и договорным требованиям. Улучшение управляемости организации. Повышение доверия заинтересованных сторон: акционеров, клиентов, властей, поставщиков и бирж. Тесты на проникновение — Penetration testing Специалистами Group-IB проводятся следующие виды тестов на проникновение: Модель Whitebox («Белый ящик») По согласованию с заказчиком и с учетом заданной модели угроз выполняется экспертный тест на проникновение. Ответственные подразделения заказчика могут координировать процесс тестирования. Предварительно заказчиком может быть произведено частичное раскрытие информации об исследуемом объекте (состав задействованных программно-технических средств, топология сети, характеристики сети, информация об ответственных должностных лицах). Модель Blackbox («Черный ящик») Тест на проникновение выполняется без предоставления со стороны заказчика исходных сведений о составе и состоянии исследуемого объекта. Формат теста на проникновение определяется Исполнителем и максимально приближен по своему воздействию на инфраструктуру заказчика к действиям реального злоумышленника. Основными результатами теста на проникновение являются: Выявление недостатков в системе обеспечения информационной безопасности заказчика, которые могут привести к несанкционированному доступу к ресурсам или информации заказчика, а также предоставление консультаций по снижению вероятностей реализации угроз несанкционированного доступа. Разработка рекомендаций по устранению выявленных недостатков, повышению уровня защищенности ИТ-инфраструктуры заказчика. Получение представления о реальном уровне защищенности ИТ-инфраструктуры. Повышение уровня защищенности путем выполнения полученных рекомендаций. По итогам проведения теста разрабатывается отчет, содержащий следующие сведения: Описание обнаруженных уязвимостей и ошибок конфигурации. Таксономия атак и выявленных уязвимостей с указанием их критичности в отношении значимых активов заказчика. Рекомендации по внедрению организационных мер и программнотехнических средств, направленные на снижение выявленных рисков информационной безопасности. 14−15 Аудит и анализ Услуга Состав работ Результат Преимущества Аудит программного обеспечения Составление списка программ, присутствующих на компьютерах заказчика. Выявление вредоносных программ, их удаление, составление рекомендаций по противодействию вредоносным программам. Выявление технических особенностей установленных программ, которые могут выступать в качестве «признаков контрафактности». Анализ лицензионных договоров, заключенных между заказчиком и правообладателями. Выявление нарушений положений лицензионных договоров. Выявление программ, запрещенных к использованию в соответствии с политикой информационной безопасности организации. Список программ, присутствующих на компьютерах заказчика. Обстоятельства установки обнаруженных программ (дата и время установки, использованный дистрибутив). Технические особенности установленных программ, которые могут выступать в качестве «признаков контрафактности». Технические характеристики обнаруженных вредоносных программ. Список нарушений условий лицензионных договоров и рекомендации по их устранению. Рекомендации по устранению выявленных нарушений. Оперативное выявление нелицензионного и нежелательного программного обеспечения, используемого в организации. Возможность быстрой легализации обнаруженного нелицензионного программного обеспечения с целью устранения юридических и финансовых рисков, связанных с нарушением законодательства. Анализ защищенности WEB-приложений Исследование уровня защищенности WEB-приложений. Анализ безопасности площадки, на которой развернута система ДБО и ее основные компоненты. Поиск уязвимостей в прикладном и общесистемном программном обеспечении системы ДБО, определение защищенности окружения и используемых WEB-приложений. Проверка возможности компрометации конечного клиента ДБО с использованием актуальных векторов атак (client-side). Определение текущего уровня осведомленности ответственных лиц при возникновении внештатных технических ситуаций. Результатом комплексного аудита Получение представления о реальном информационной безопасности уровне защищенности приложений является отчет, содержащий: и возможных способах компрометации. Описание обнаруженных уязвимостей Повышение уровня защищенности в WEB-приложениях и способов за счет выполнения рекомендаций Group-IB. их исправления. Рекомендации по повышению уровня защищенности системы ДБО. Анализ защищенности программного обеспечения (конфигурация SAP, ERP, СУБД, используемого системного и прикладного программного обеспечения) Анализ защищенности SAP / ERP-решений. Анализ защищенности СУБД (Oracle, MySQL, MSSQL, PostgreSQL) и смежных корпоративных приложений. Анализ защищенности стороннего прикладного программного обеспечения. Детализированный отчет с описанием обнаруженных уязвимостей и возможных векторов атак в отношении инфраструктуры заказчика, содержащий разработанные рекомендации по повышению уровня защищенности исследуемого компонента инфраструктуры заказчика и их обоснование. Получение представления о реальном уровне защищенности ИТ-инфраструктуры и возможных способах ее компрометации. Повышение уровня защищенности за счет выполнения рекомендаций Group-IB. Анализ защищенности инфраструктуры сети Анализ защищенности и определение достаточности мер защиты сетевого периметра. Апробация возможности компрометации пограничной защиты, элементов сетевой инфраструктуры. Исследование конфигурации систем обнаружения и предотвращения вторжений (IDS/IPS). Исследование уровня устойчивости элементов сетевой инфраструктуры по отношению к воздействию классических атак (ARP poisoning / ARP spoofing, DNS poisoning / DNS spoofing, вариации атак класса «Человек посередине»). Исследование возможности компрометации клиентов сетевого окружения. Детализированный отчет с описанием обнаруженных уязвимостей и возможных векторов атак в отношении инфраструктуры заказчика, содержащий разработанные рекомендации по повышению уровня защищенности исследуемого компонента инфраструктуры заказчика и их обоснование. Получение представления о реальном уровне защищенности ИТ-инфраструктуры и возможных способах ее компрометации. Повышение уровня защищенности за счет выполнения рекомендаций Group-IB. Анализ защищенности беспроводной и мобильной инфраструктуры (WPAN, WLAN, WMAN, WWAN) Анализ возможности атаки на неуправляемых клиентов беспроводной сети. Анализ возможности создания ложных точек доступа (Rogue AP / Evil Twin). Анализ возможности нарушения доступности ресурсов беспроводной сети путем воздействия на физический уровень. Анализ возможности эксплуатации уязвимостей в протоколах, используемых для обеспечения целостности и конфиденциальности передаваемых данных. Детализированный отчет с описанием обнаруженных уязвимостей и возможных векторов атак в отношении инфраструктуры заказчика, содержащий разработанные рекомендации по повышению уровня защищенности исследуемого компонента инфраструктуры заказчика и их обоснование. Получение представления о реальном уровне защищенности ИТ-инфраструктуры и возможных способах ее компрометации. Повышение уровня защищенности за счет выполнения рекомендаций Group-IB. Анализ защищенности АСУ ТП (SCADA) Анализ возможности проведения атаки на системы промышленной автоматизации включающий: Аудит телеметрических («полевых») устройств. Анализ защищенности используемых промышленных протоколов передачи данных. Аудит конфигурации используемых программно-аппаратных средств (включая системы диспетчеризации, системы реального времени). Оценка устойчивости АСУ ТП к злонамеренным воздействиям (сигнальным, информационным, техногенным). Детализированный отчет с описанием обнаруженных уязвимостей и возможных векторов атак в отношении инфраструктуры заказчика, содержащий разработанные рекомендации по повышению уровня защищенности исследуемого компонента инфраструктуры заказчика и их обоснование. Получение представления о реальном уровне защищенности ИТ-инфраструктуры и возможных способах ее компрометации. Повышение уровня защищенности за счет выполнения рекомендаций Group-IB. 16−17 Интеграционные услуги Услуга Состав работ Результат Преимущества Подключение к системе защиты от DDoS-атак Организация, развертывание и настройка системы защиты корпоративной ИТ-инфраструктуры от распределенных телекоммуникационных атак на отказ в обслуживании (DDoS). Подключение к системе защиты от DDoS-атак. Гарантия защиты от DDoS-атак. Непрерывная работа ресурсов без увеличения времени обработки запроса. Возможность узнать статистику по трафику на ваш ресурс при атаке. Безопасная передача очищенного трафика. Оперативное реагирование в режиме реального времени на изменения атаки и ее сложности. Построение систем обеспечения информационной безопасности, систем управления информационной безопасностью В ходе выполнения работ проектируются следующие подсистемы: Подсистема защиты периметра сети. Подсистема обеспечения безопасности межсетевых взаимодействий. Подсистема мониторинга и аудита безопасности. Подсистема обнаружения и предотвращения атак. Подсистема резервного копирования и восстановления данных. Подсистема анализа защищенности и управления политикой безопасности. Подсистема контроля целостности данных. Криптографическая подсистема / инфраструктура открытых ключей. Подсистема защиты от вредоносного ПО. Подсистема фильтрации содержимого и предотвращения утечки конфиденциальной информации (DLP). Подсистема установки обновлений ПО. Подсистема администрирования информационной безопасности. Результатом построения систем СОИБ / СУИБ будет являться разработка технического проекта СОИБ / СУИБ, документации, интеграция систем СОИБ/СУИБ, сертификация и сопровождение. Создание эффективной и управляемой системы ИТ-безопасности. Минимизация ущерба от успешной реализации внутренних и внешних угроз. Обеспечение непрерывности бизнеспроцессов. Эффективное управление рисками. Улучшение и защита имиджа Компании. Повышение прозрачности процесса управления информационной безопасностью в Компании. Готовая к эксплуатации система управления инцидентами информационной безопасности. Построение системы управления инцидентами позволит решить следующие задачи: Обеспечить своевременную реакцию на инцидент, остановку и предотвращение распространения атаки. Минимизировать ущерб от инцидента ИБ. Произвести корректный сбор и обеспечить юридическую значимость доказательной информации по инцидентам ИБ. Выявить обстоятельства инцидентов ИБ. Устранить уязвимости, с помощью которых была реализована атака. Снижение рисков за счет реализации следующих возможностей: Автоматизированный аудит мест расположения конфиденциальной информации. Автоматизированный контроль соответствия установленным в компании процедурам перемещений конфиденциальной информации (создание и обработка инцидентов при неправомерном разглашении секретных сведений, с возможностью их предотвращения). Отслеживание общего уровня рисков (на основе отчетов об инцидентах). Контроль утечек информации в режиме немедленного реагирования и в рамках ретроспективного анализа. Приведение уровня информационной безопасности организации в соответствие с рядом требований стандарта PCI DSS. Построение систем управления инцидентами ИБ Разработка нормативно-регламентной документации. Внедрение программно-технических средств. Интеграция DLP-систем Индивидуальный подбор конфигурации. Интеграция решений на базе продуктов известных вендоров (Symantec DLP, McAfee Network DLP Discover, RSA Data Loss Prevention (DLP) Suite, Cisco Data Loss Prevention и др.). Готовая к эксплуатации система предотвращения утечек конфиденциальной информации. Интеграция защищенного автоматизированного рабочего места клиента ДБО Интеграция дополнительных специализированных программно-технических средств защиты конечного клиента системы ДБО с учетом динамики возникновения новых угроз ИБ и появления принципиально новых образцов вредоносного кода для финансово-банковского сектора. Обеспечение круглосуточного Уникальное комплексное решение всестороннего удаленного для обеспечения всесторонней сопровождения состояния защищенности автоматизированного защищенности конечного клиента рабочего места бухгалтера. ДБО с участием ситуационного центра реагирования Group-IB. Оперативное, незамедлительное оповещение клиента ДБО о появлении возможных угроз ИБ, необходимости принятия организационно-технических мер по защите информации, угрозе НСД к информации и признаках возможного присутствия вредоносного кода («malware», «spyware», «adware»). Контроль защищенности программно-аппаратной среды АРМ клиента ДБО. Восстановление данных Диагностика устройств. Консультации по вопросам восстановления данных. Восстановление удаленных файлов различного типа (документы, фотографии, видеофайлы и т. п.). Восстановление данных после работы компьютерных вирусов. Восстановление данных после логического повреждения файловых систем. Восстановление данных, хранящихся на неисправных машинных носителях информации. Восстановление файлов, поврежденных в результате программной ошибки. Восстановленные файлы на носителе информации. Заключение о причинах потери данных. Отчет о проделанной работе. Возможность восстановления важной информации. 18−19 Превентивные меры Услуга Состав работ Результат Преимущества BrandPointProtection Проактивный мониторинг сети Интернет по всем возможным векторам воздействия на бренд, репутацию компании. Превентивное получение данных из международных антифишинговых баз (antiphishing.org, fraudwatchinternational.com, OPERA, MS Internet Explorer, ESET). Пополнение фильтров международных антифишинговых баз в режиме реального времени (antiphishing.org, ESET, fraudwatchinternational.com, markmonitor). Проведение исследований, направленных на лучшее понимание угроз для бренда и репутации компании в сети Интернет. Предоставление статистических данных по наиболее часто встречающимся угрозам для бренда и репутации компании в сети Интернет. Определение и разработка критериев поиска и фильтрации событий. Определение степеней критичности событий. Определение порядка классификации событий. Корреляция найденных событий из различных источников с целью выявления факта принадлежности к единому инциденту. Анализ сайтов-клонов и фишинговых сайтов на предмет угрозы для бренда и репутации компании. Немедленное уведомление. Реагирование и расследование. Проведение специальных мероприятий с целью устранения угрозы. Эффективное предотвращение незаконного использования бренда в сети Интернет. Минимизация нанесенного ущерба. Снижение издержек на собственный мониторинг и реагирование. Восстановление справедливости и репутации. Оперативность и полнота предоставленных данных. Корректно оформленные материалы. Возможность проведения комплексного расследования. Botnet Monitoring Выявление новых участников рынка мошенничества в интернет-банкинге. Выявление, анализ и исследование изменений бот-сетей, а также серверов, связанных бот-сетями. Выявление попавших на черные кардинг-рынки и в другие системы реализации скомпрометированных платежных данных. Круглосуточный анализ и исследование изменений ботсетей позволяет получать данные о скомпрометированных клиентах множества банков, а именно: Реквизиты кредитных и дебетовых карт. Реквизиты систем клиентского и корпоративного дистанционного банковского обслуживания. Логины, пароли клиентов, OTP. Копии ключей электронной цифровой подписи. Снимки экранов с компьютеров клиентов банка. IP-адреса клиентов банка. Возможность предотвращать хищения денежных средств со счетов клиентов Оперативность и достоверность полученных данных. Снижение издержек на поддержку пострадавших клиентов. Повышение лояльности и доверия клиентов к банку. Возможность проведения комплексного расследования. Antiphishing Пунктуальный мониторинг информационного пространства с целью выявления фишинговых сайтов и иного нелегального использования бренда в Интернете. Экспертная оценка ресурса на предмет вредоносности его смыслового и технического наполнения. Оповещение хостинг-провайдеров, доменных регистраторов, владельцев скомпрометированных сайтов и серверов, государственных и частных центров реагирования на инциденты информационной безопасности, операторов DNS и других сторон по инцидентам фишинга. Нейтрализация вредоносного ресурса. Снижение сопутствующих репутационных и финансовых рисков. Повышение доходов легитимного бизнеса и привлечение новых клиентов в силу прерывания финансовых потоков к мошенническим проектам. Возможности обнаружения и устранения фишинговых и иных вредоносных сайтов еще до их активизации в Интернете. Возможность компенсации нанесенного ущерба, полученного от зловредного сайта, и привлечения злоумышленника к ответственности в случае подключения услуг по расследованию. FraudMonitor Предоставление единого интерфейса регистрации преступлений в сфере мошенничества в электронной коммерции (дистанционного банковского обслуживания, иных платежных системах, включая терминалы оплаты). Консолидация разрозненной информации по мошенничеству в сфере электронной коммерции. Генерация правил для систем предотвращения мошеннических операций, используемых организациями, участниками системы. Оперативное оповещение участников системы. Предоставление прозрачной статистической и аналитической информации. Возможность предотвращения хищений денежных средств со счетов клиентов. Снижение уровня преступлений в сфере электронной коммерции. Ускорение процесса обмена информацией о мошенничестве между участниками системы. Повышение лояльности и доверия клиентов к банку в частности и к системам электронных платежей в целом. Мажоров переулок, д. 14, стр. 2, г. Москва, Россия, 107023 (495) 661 55 38 [email protected] www.group-ib.ru