Incident ResponseРеагирование на инциденты DFIR

DFIR.
Stop the breach. Restore operations. DFIR.
Остановить атаку. Восстановить работу.

Digital forensics and incident response — 24/7 emergency retainer and rapid deployment. Contain, investigate, eradicate, and restore — in hours, not weeks. Цифровая криминалистика и реагирование на инциденты — 24/7 ретейнер и быстрое развёртывание. Сдерживание, расследование, устранение, восстановление — за часы, а не недели.

Emergency hotlineЭкстренная линия All ServicesВсе услуги

Incident response lifecycle Жизненный цикл реагирования на инцидент

A structured, time-bound response that minimises dwell time and business impact. Структурированное реагирование с ограниченным временем для минимизации ущерба.

DFIR capabilitiesВозможности DFIR

Digital ForensicsЦифровая криминалистика

Evidence collection, chain of custody, expert testimonyСбор доказательств, цепочка хранения, экспертное заключение

  • Disk and memory forensic imaging (EnCase, FTK)Форензик-образы дисков и памяти (EnCase, FTK)
  • Cloud forensics (AWS CloudTrail, Azure AD, GCP)Облачная криминалистика (AWS, Azure, GCP)
  • Legal-grade chain of custody documentationДокументация цепочки хранения для суда
  • Cryptographic hash verification on all collected evidenceКриптографическая верификация хешей всех собранных доказательств
  • Expert witness testimony available for legal proceedingsЭкспертное свидетельство для судебных разбирательств
Tools
EnCaseVolatilityVelociraptor

Incident ResponseРеагирование на инцидент

Rapid containment, eradication and business restorationБыстрое сдерживание, устранение и восстановление

  • <1h emergency response SLA (retainer clients)<1ч SLA на реагирование (ретейнер)
  • Ransomware, BEC, data breach, APT responseRansomware, BEC, утечки, APT-угрозы
  • Remote or on-site deployment within hoursУдалённое или выездное реагирование за часы
  • Ransomware decryption negotiation advisory supportКонсультационная поддержка переговоров о дешифровании при ransomware
  • Parallel containment and forensic preservation — no trade-offПараллельное сдерживание и сохранение доказательств — без компромисса
Scenarios
RansomwareBECAPTData Breach

Post-Incident ReportingОтчётность после инцидента

Root cause, timeline, recommendations, regulatoryПервопричины, хронология, рекомендации, регулятор

  • Executive and technical incident reportУправленческий и технический отчёт об инциденте
  • Regulatory notification support (GDPR, PCI, HIPAA)Поддержка уведомлений регуляторов (GDPR, PCI)
  • Security improvement roadmap to prevent recurrenceДорожная карта по предотвращению повторения
  • MITRE ATT&CK mapping of the full attack chainМаппинг полной цепочки атаки по MITRE ATT&CK
  • Cyber insurance claim support and legal coordinationПоддержка страховых претензий и юридическая координация
Deliverables
IR ReportTimelineRoadmap

Forensic specialismsФорензик-специализации

Windows & AD forensicsWindows и AD-форензика

NTFS artefacts, event logs, registry, Active DirectoryNTFS-артефакты, логи событий, реестр, AD

  • NTFS artefact analysis — MFT, USN journal, $LogFile, prefetchАнализ NTFS-артефактов: MFT, USN journal, prefetch
  • Windows Event Log timeline correlation and pivotingКорреляция и пивотирование по Windows Event Logs
  • Active Directory attack reconstruction — DCSync, Golden Ticket, Pass-the-HashРеконструкция атак AD: DCSync, Golden Ticket, PtH
  • Registry persistence and lateral movement artefactsАртефакты persistence в реестре и бокового движения
Tools
AutopsyAXIOMFTK

Cloud forensicsОблачная форензика

AWS, Azure, GCP — log-based investigationAWS, Azure, GCP — расследование по логам

  • AWS CloudTrail, S3 access logs, GuardDuty findings analysisАнализ CloudTrail, логов S3 и GuardDuty
  • Azure AD sign-in, audit, and diagnostic log reconstructionРеконструкция логов Azure AD: sign-in, audit
  • Container and Kubernetes pod escape and privilege chainАнализ pod escape и цепочек привилегий в Kubernetes
  • Serverless and API gateway invocation log triageТриаж логов serverless-функций и API Gateway
Platforms
AWSAzureGCP

Malware analysisАнализ вредоносного ПО

Static and dynamic reverse engineering, IOC extractionСтатический и динамический реверс-инжиниринг

  • Static analysis — PE structure, strings, imports, packing detectionСтатический анализ: PE, строки, импорты, обнаружение упаковки
  • Dynamic sandbox analysis — behaviour, network, persistenceДинамический sandbox-анализ: поведение, сеть, persistence
  • Ransomware strain identification and decryption path analysisИдентификация штамма шифровальщика и анализ путей дешифрования
  • C2 infrastructure mapping and IOC extraction for defensive useКартирование C2 и извлечение IOC для защитного применения
Tools
GhidraIDA ProANY.RUNYARA

Memory & network forensicsФорензика памяти и сети

Evidence that disappears at reboot — captured and preserved before power cycles Доказательства, которые исчезают при перезагрузке — захват и сохранение до выключения питания

Memory forensicsФорензика памяти

Live acquisition and offline analysisЖивое снятие и автономный анализ

  • Volatility 3 — process tree, injected code, network socketsVolatility 3: дерево процессов, инжектированный код, сокеты
  • Fileless malware detection — living-off-the-land artefactsОбнаружение fileless-малвара и LOLbins
  • Credential extraction artefacts in LSASS and registryАртефакты извлечения учётных данных из LSASS и реестра
  • Encryption key recovery where technically possibleВосстановление ключей шифрования там, где технически возможно
Tools
Volatility 3RekallWinPmem

Network forensicsСетевая форензика

PCAP analysis, flow reconstruction, protocol inspectionАнализ PCAP, реконструкция потоков, инспекция протоколов

  • Full PCAP analysis with Wireshark and Zeek scriptingПолный анализ PCAP с Wireshark и Zeek scripting
  • NetFlow and DNS log reconstruction for lateral movement tracingРеконструкция NetFlow и DNS-логов для трассировки перемещения
  • Encrypted traffic analysis — JA3/JA3S fingerprinting, TLS metadataАнализ зашифрованного трафика: JA3/JA3S, TLS-метаданные
  • Exfiltration channel identification and volume estimationИдентификация каналов эксфильтрации и оценка объёма
Tools
WiresharkZeekNetworkMiner

What happens when you call usЧто происходит, когда вы звоните нам

Clear escalation, no wasted time Чёткая эскалация, без потери времени

01

Emergency IntakeПриём вызова

24/7 hotline answered in <5 min. Initial triage call to scope the incidentГорячая линия 24/7, ответ <5 мин. Первичный звонок для оценки инцидента

02

Rapid DeployБыстрое развёртывание

Remote access established within 1h. On-site team dispatched if neededУдалённый доступ за 1 час. Выезд команды при необходимости

03

Contain & InvestigateСдержать и расследовать

Stop the bleeding while preserving forensic evidence and building the attack timelineОстановить ущерб, сохранив доказательства и восстановив хронологию

04

Report & HardenОтчёт и укрепление

Full forensic report with root cause, timeline, regulatory support, and a hardening roadmapПолный отчёт с первопричиной, хронологией, регуляторной поддержкой и дорожной картой

<1h
emergency SLA (retainer)SLA для ретейнера
24/7
hotline availabilityдоступность горячей линии
100+
incidents handledрасследованных инцидентов
NDA
full confidentialityполная конфиденциальность

When to call DFIRКогда вызывать DFIR

Ransomware AttackАтака вымогателя

Encrypted systems, ransom demand — we contain spread, assess decryption options, and restore operations.Зашифрованные системы, требование выкупа — остановим распространение, оценим дешифрование, восстановим работу.

Data BreachУтечка данных

Suspected exfiltration — identify what was taken, who accessed it, and handle regulatory notification requirements.Подозрение на утечку — определим, что похищено, кто имел доступ, поможем с уведомлением регулятора.

Proactive RetainerПревентивный ретейнер

Pre-position DFIR capacity before an incident — <1h response guarantee, IR plan ready, no scramble under fire.Подготовить мощности DFIR до инцидента — гарантия <1ч, план готов, без хаоса в момент атаки.

Under attack? Call now.Под атакой? Звоните сейчас.

Our DFIR team is on call 24/7. Retainer clients get <1h response. New clients — call us anyway, we'll help. Команда DFIR дежурит 24/7. Ретейнер — <1ч. Новые клиенты — всё равно звоните, поможем.

Emergency contactЭкстренный контакт Learn about retainerУзнать о ретейнере