cs:sluzby:analyza

Analýza událostí

Pro správnou reakci na bezpečnostní incident jsou potřeba přesné informace o jeho průběhu. Konkrétní otázky lze zodpovědět na základě forenzní analýzy napadených systémů. Odpovědi pak mohou následně posloužit zejména k objasnění vektoru útoku (šíření malware), prokázání porušování směrnic a provozních řádů uživatelem nebo zmapování nakládání se specifikovanými dokumenty.

Výsledky analýzy pomohou bezpečnostním manažerům, týmům typu CSIRT a administrátorům systémů při zvládání bezpečnostního incidentu a minimalizaci jeho následků.

Popis služby

Analýza událostí je reakcí na již probíhající nebo proběhlý bezpečnostní incident. První kroky analýzy (zajištění dat) by měly být provedeny co nejdříve po zjištění bezpečnostního incidentu, protože s postupem času mohou elektronické stopy zanikat. Většina zmizí v řádu hodin až dní, ale u některých druhů incidentů jsou relevantní stopy přítomné v rozumném množství i několik týdnů až měsíců od zkoumané události.

Při typickém průběhu analýzy

  • vám poskytneme úvodní konzultaci,
  • pomůžeme formulovat otázky,
  • poskytneme podporu při zajišťování dat,
  • zanalyzujeme průběh incidentu,
  • nalezneme odpovědi na Vaše otázky,
  • zdokumentovaný postup a závěry předáme formou závěrečné zprávy.

V poskytnutých vstupních datech budou nalezeny odpovědi na položené otázky.

Analýzou můžete například získat odpovědi na otázky,

  • zda se v zařízení vyskytuje nebo vyskytoval specifikovaný dokument,
  • zda v zařízení jsou nebo byly nainstalovány specifikované aplikace,
  • zda bylo manipulováno s dokumenty (kdo je kdy změnil, kopírování na USB, …),
  • zda bylo přístupováno k chráněným souborům,
  • jaké soubory a programy byly naposledy používány,
  • jaké řetězce uživatel vyhledával,
  • jaké webové stránky uživatel navštívil,
  • jaké emaily byly odeslány a přijaty,
  • k jakým bezdrátovým sítím bylo přistupováno,
  • zda byla provedeny pokusy o zahlazení stop (antiforenzní techniky),
  • týkajících se systémových informací (počet startů a vypnutí, spouštěné aplikace, …),
  • jaké je historie připojovaných USB zařízení,
  • jaké programy byly spouštěny – kdy, kolikrát, jaké knihovny přitom byly použity.

Tento výčet rozhodně není konečný. Stačí aby indicie k odpovědi byly přítomny ve zkoumaných digitálních datech.

Jak postupovat

Řešíte závažný bezpečnostní incident a potřebujete znát detailní informace o jeho průběhu? Kontaktujte nás, domluvíme si vše potřebné. Můžete se také podívat na popis dalšího postupu.

Poslední úprava: 27.04.2015 13:58