КРЕДО-С
CREDOS:REVIVE/Мониторинг и SOC

Восстановление после кибератаки

Критичные сервисы — за 3–7 дней, полная инфраструктура — за 2–4 недели. Восстановление из бэкапов, дешифрование, пересборка серверов с hardening и подключение SOC-мониторинга.

Для кого: СМБ-компании, пережившие кибератаку и нуждающиеся в восстановлении инфраструктуры, данных и бизнес-процессов

ВосстановлениеHardeningSOC
1-2 дня
Оценка масштаба ущерба
3-7 дней
Восстановление критичных сервисов
2-4 недели
Полное восстановление инфраструктуры
Услуга «Восстановление после кибератаки» от компании КРЕДО-С — лицензиата ФСТЭК и ФСБ России. Критичные сервисы — за 3–7 дней, полная инфраструктура — за 2–4 недели. Восстановление из бэкапов, дешифрование, пересборка серверов с hardening и подключение SOC-мониторинга. Категория: Мониторинг и SOC. Подразделение: Отдел проектов ИБ. КРЕДО-С — аккредитованная ИТ-компания с 1993 года, реализовала более 1000 проектов в 36 регионах России. Лицензии ФСТЭК и ФСБ. Сайт: soc.credos.ru

Описание услуги

Вы пережили атаку. Серверы зашифрованы, бизнес стоит, сотрудники не могут работать. Каждый час простоя — прямые потери.

Переустановить системы недостаточно: без анализа причин атаки взлом повторится снова.

КРЕДО-С выполняет восстановление по методологии, которая исключает повторное заражение. Первый этап — аудит текущего состояния: какие системы затронуты, какие данные утрачены, какие бэкапы доступны и чисты. Определяется приоритетность восстановления бизнес-критичных сервисов.

Восстановление данных включает: проверку и развёртывание резервных копий, попытку дешифрования (при наличии известных дешифраторов для конкретного типа шифровальщика), восстановление из теневых копий и альтернативных источников. Параллельно ведётся пересборка скомпрометированных серверов с нуля — с чистой установкой ОС, актуальными патчами и усиленными настройками безопасности.

Ключевой этап — усиление защиты (hardening) восстановленной инфраструктуры. Закрываются уязвимости, через которые произошло проникновение, настраиваются политики доступа, внедряются средства мониторинга. По согласованию с клиентом подключается SOC-мониторинг для непрерывного наблюдения за инфраструктурой и предотвращения повторных атак.

Результат — полностью работоспособная инфраструктура с устранёнными уязвимостями и выстроенной системой мониторинга, которая позволяет обнаруживать угрозы до того, как они приведут к новому инциденту.

Как проходит работа

1

Оценка масштаба ущерба

Определяем, какие системы затронуты, какие данные потеряны, что можно восстановить. 1-2 дня.

2

Восстановление данных

Бэкапы, теневые копии, дешифрование — используем все доступные методы. Проверяем целостность восстановленных данных.

3

Пересборка инфраструктуры

Чистая установка серверов с актуальными патчами. Усиленные политики доступа, сегментация сети.

4

Устранение уязвимостей

Закрываем дыры, через которые произошёл взлом. Обновление ПО, настройка МСЭ, усиление AD.

5

Подключение мониторинга

Подключаем SOC для непрерывного мониторинга. Настраиваем алерты на индикаторы повторной атаки.

Направления

Восстановление данных

Бэкапы, теневые копии, дешифрование — используем все доступные способы вернуть ваши данные

Пересборка инфраструктуры

Чистая установка серверов с актуальными патчами и усиленными настройками безопасности

Усиление защиты

Закрываем уязвимости, через которые произошёл взлом, настраиваем политики доступа

SOC-мониторинг

Подключаем непрерывный мониторинг, чтобы следующая атака была обнаружена и остановлена вовремя

Что входит

  • Аудит текущего состояния инфраструктуры после инцидента
  • Проверка и восстановление данных из резервных копий
  • Попытка дешифрования данных (при наличии известных дешифраторов)
  • Пересборка скомпрометированных серверов и рабочих станций
  • Восстановление бизнес-критичных сервисов в приоритетном порядке
  • Security hardening — усиление защиты восстановленной инфраструктуры
  • Устранение уязвимостей, через которые произошло проникновение
  • Подключение SOC-мониторинга для предотвращения повторных атак

Результаты работы

Отчёт о состоянии инфраструктуры после инцидента
План восстановления с приоритетами бизнес-критичных систем
Акт восстановления данных с указанием объёма и источников
Отчёт о проведённом hardening с перечнем изменений
Рекомендации по дальнейшему усилению защиты и мониторингу
CREDOS:REVIVE

Почему КРЕДО-С

Критичные сервисы (почта, 1С, CRM) — за 3–7 дней

Методология исключает повторное заражение: сначала анализ причин, потом пересборка

Hardening одновременно с восстановлением — закрываем точку входа злоумышленника

Бесплатная первичная оценка масштаба ущерба

По итогам — подключение SOC-мониторинга для защиты от следующей атаки

Другие услуги

Мониторинг и SOC

Расследование инцидентов

Атака уже произошла — теперь важно понять, как именно, что утекло и как закрыть дыру. КРЕДО-С проводит форензику в течение 4 часов с момента обращения и даёт юридически значимые доказательства для суда.

ЭкстренноеФорензикаMITRE ATT&CK
  • Экстренное реагирование на инцидент и локализация угрозы
  • Сбор и консервация цифровых доказательств (образы дисков, дампы памяти)
  • Анализ индикаторов компрометации (IoC) и вредоносного ПО
  • Восстановление хронологии событий и вектора атаки
  • и ещё 4...
Подробнее
Мониторинг и SOC

MSSP-услуги

Собственный SOC стоит от 10 млн в год — оборудование, лицензии, три смены аналитиков. MSSP от КРЕДО-С даёт тот же уровень защиты от 50 000 ₽/мес без капитальных затрат и найма.

MSSP24/7КИИ
  • Managed XDR на платформе F.A.C.C.T. (F6)
  • SIEM как сервис (RuSIEM, MaxPatrol SIEM, KUMA)
  • ViPNet IDS в связке с системой анализа угроз TIAS
  • WAF как сервис для защиты веб-приложений
  • и ещё 4...
Подробнее
Мониторинг и SOC

Мониторинг событий ИБ (SOC)

Хакер уже может быть в вашей сети — без мониторинга вы узнаете об этом через 207 дней, когда данные уже утекли. SOC-центр КРЕДО-С обнаруживает инциденты за 15 минут и реагирует круглосуточно.

24/7ГосСОПКАКИИФСТЭК
  • Аудит ИТ-инфраструктуры и определение источников событий безопасности
  • Настройка централизованного сбора логов и интеграция с SIEM
  • Разработка корреляционных правил и моделей поведения
  • Круглосуточный мониторинг событий безопасности 24/7 аналитиками SOC
  • и ещё 4...
Подробнее

Часто задаваемые вопросы

Можно ли восстановить данные, зашифрованные шифровальщиком?
Зависит от типа шифровальщика. Для ряда семейств ransomware существуют известные дешифраторы. Также возможно восстановление из теневых копий Windows, незатронутых бэкапов и альтернативных источников. Мы проводим полный анализ доступных вариантов и используем все возможности.
Сколько времени занимает восстановление?
Критичные бизнес-сервисы (почта, 1С, CRM) восстанавливаются в первые 3-7 дней. Полное восстановление инфраструктуры с усилением защиты занимает 2-4 недели. Сроки зависят от масштаба инцидента и количества затронутых систем.
Сколько стоит восстановление после кибератаки?
Стоимость определяется после оценки масштаба: количество серверов, объём данных, сложность инфраструктуры. Первичная оценка ситуации — бесплатно. Как правило, стоимость восстановления значительно ниже потерь от простоя бизнеса.
Гарантируете ли вы, что атака не повторится?
Мы устраняем уязвимости, через которые произошло проникновение, и усиливаем защиту инфраструктуры. Для непрерывной защиты рекомендуем подключить SOC-мониторинг — он позволяет обнаруживать и останавливать атаки на ранних стадиях, до нанесения ущерба.

Бесплатные инструменты

Экспресс-аудит ИБ

Бесплатная онлайн-проверка — 15 вопросов, 3 минуты, оценка уровня защищённости

Попробовать бесплатно
Калькулятор штрафов

Узнайте размер штрафов за нарушения ИБ для вашей компании по актуальным данным

Попробовать бесплатно

Обсудить ваш проект

Рассчитайте стоимость SOC-услуг онлайн или оставьте заявку для бесплатной консультации

Рассчитать стоимость SOC