При возникновении инцидентов, связанных с сетевой безопасностью (взломы серверов, утечки баз данных, проникновение вредоносного программного обеспечения, атаки на отказ в обслуживании, подмена сетевых адресов и другие), требуется глубокий, системный и многоуровневый анализ множества цифровых следов, оставленных злоумышленником как намеренно, так и непреднамеренно. Наши специалисты проводят комплексное исследование сетевой инфраструктуры, серверов, рабочих станций пользователей, а также анализируют сетевой трафик (прокси-логи, дампы пакетов) и системные журналы (логи) событий.

Целью такой работы является не просто выявление технического источника угрозы (например, внешнего IP-адреса), но и решение следующих задач:

• Определение методов и инструментов, примененных злоумышленниками (какое вредоносное ПО, какие скрипты, какие уязвимости эксплуатировались).
• Установление точной хронологии атаки (время начала, время каждого этапа, время окончания).
• Идентификация масштабов ущерба: какие системы затронуты, какие данные скомпрометированы (украдены, изменены, удалены), был ли нарушен режим работы.
• Выявление «точек входа» и распространения атаки внутри сети (как злоумышленник проник и как перемещался по корпоративной сети).
• Оценка эффективности существующих мер защиты (сработали ли средства обнаружения, были ли пропущены критические события).

Все эти данные могут быть критически важными для защиты интересов компании в суде (например, при взыскании ущерба с бывшего сотрудника или подрядчика), при взаимодействии с правоохранительными органами, а также для обоснования страховых выплат по договору киберстрахования.