Skip to content
Incydent bezpieczeństwa? Zadzwoń: +48 732 059 711
Cydefen
pl en
Post-Breach Analysis

Przyznam się, ale mamy dowody

Naruszenie się stało. Teraz liczy się przyczyna, zakres i dowody. Nasze śledztwo cyfrowe rekonstruuje co się stało — linia po linii, z metodologią NIST i łańcuchem czynności, który się trzyma na sądzie.

Dla kogo?

  • Firmy, które dopiero co odkryły naruszenie (breach)
  • Organizacje pod presją regulacyjną (UODP, NBP, KNF)
  • Spółki z wymogami zgłoszenia do CSIRT lub ABW
  • Podmioty przygotowujące się do pohartu lekcji i wzmocnień
  • Firmy potrzebujące dowodów do procedury prawnej czy ubezpieczenia
Co otrzymujesz

Rezultaty

Przychowywanie śladów (forensic acquisition)

Snapshot pamięci (RAM dump), obrazy dysków (forensic images), logi systemowe — wszystkie dane przechowywane z hashami MD5/SHA1 i czasem przylgnięcia. Chain of custody od A do Z.

Rekonstrukcja zdarzeń (timeline)

Artefakty Windows (Prefetch, NTFS Journal, Registry), logi aplikacji, logi sieciowe — pełna oś czasowa od pierwszego znaku zagrożenia do jego wyłączenia.

Przyczyna pierwsza (root cause)

Jak się dostali? Co eksploatowali? Jakie luki otworzył nasz brak? Techniczny wgląd bez żargonu — gotowy do przełożenia na działania naprawcze.

Executive summary

Raport dla zarządu — co się stało, kto może być dotknięty, jaki jest dalsza droga. Bez technicznego żargonu, ale z konkretnym wpływem biznesowym.

Technical detailed report

Pełny raport dla zespołu IT — każda sekcja linii kodu, każdy log, każdy IoC (Indicator of Compromise). Przygotowana do audytu i procedur prawnych.

Rekomendacje pohartu

Konkretne działania naprawcze: patche, zmiana procedur, nowe kontrole, zmiana infrastruktury. Skalibrowane do Waszej dojrzałości i budżetu.

Jak pracujemy

Analiza Post-Breach w 4 fazach

  1. 01

    Triage i pozyskanie (0–72h)

    Telefon kryzysowy, identyfikacja systemów dotkniętych, pozyskanie obrazów dysków, snapshots pamięci, wyeksportowanie logów. Wszystko z łańcuchem czynności.

  2. 02

    Analiza wstępna (dzień 3–5)

    Przegląd artefaktów, identyfikacja IoC (hashes, IP, domeny), pierwsza wizja przyczyny i zakresu naruszenia. Raport pośredni dla zarządu.

  3. 03

    Analiza głęboka (dzień 5–10)

    Pełna rekonstrukcja zdarzeń, analiza memory dump, analiza malware (jeśli jest), integracja z threat intelligence. Dokładnie wiemy, co się działo.

  4. 04

    Raportowanie i wnioski

    Raport techniczny + executive summary. Rekomendacje, przyczyna, zakres, IoC dla Twojego SOC/SIEM. Gotowe do zgłoszenia regulatorom.

FAQ

Najczęstsze pytania

Czy forensics to to samo co recovery danych?
Nie. Recovery odzyskuje usunięte dane. Forensics rekonstruuje co się działo z danymi, kto je ruszał i kiedy. To śledztwo, nie ratowanie.
Czy musimy wyłączyć systemy na czas forensics?
Zaczniemy od snapshotu pamięci (hot forensics), potem powoli wyłączymy systemy i robimy cold forensics. Zawsze minimalizujemy downtime.
Jak szybko możecie wejść do akcji?
Pierwsza odpowiedź w 2–4 godziny po telefonie. Pozyskanie danych w 24h. Raport wstępny w 3–5 dni, pełny raport w 7–10 dni.
Czy raport będzie zaakceptowany przez regulatora?
Tak — opieramy się na NIST IR 1.1, SANS IR i ISO 27035. Łańcuch czynności i dokumentacja, które przechodzą audyt.
Co z poufnością? Czy raport będzie bezpieczny?
Wszystko szyfrowane (TLS/AES). NDA przed pracą. Raport tylko dla Ciebie i tych, których wskaże zarząd. Nie udostępniamy nikomu.

Mamy już incydent — pomoż nam teraz

2–4 godziny, przygotujemy kryzysową ścieżkę i pierwszą ocenę zakresu. Będzie dobrze.

Zadzwoń teraz Wróć do reagowania