SOC

RTFS SOC

Od ponad 4 lat świadczymy usługę SOC-as-a-Service, outsourcingu działu SOC / CERT w którego skład wchodzi zespół dwóch rozpoznawalnych eksperckich firm – ForSec oraz REDTEAM.PL. Dzięki połączeniu wieloletniego doświadczenia z zakresu zarówno informatyki śledczej, reagowania na incydenty jak i autoryzowanych symulacji ataków potrafimy skutecznie zadbać o cyberbezpieczeństwo organizacji. Efektem wieloletniej partnerskiej współpracy jest spółka RTFS, której nazwa pochodzi od pierwszych liter dotychczasowego konsorcjum “RED TEAM – ForSec”.

Wyślij zapytanie

Usługa SOC as-a-Service (SOCaaS)

Jesteśmy zgranym zespołem współpracującym ze sobą od niemal dekady czego następstwem jest powstanie partnerskiej spółki RTFS oferującej wysokiej jakości usługi SOC oraz CERT / CSIRT. Firma ForSec zajmuje się realizacją zadań I oraz II linii specjalistów (triage specialist, incident responder, informatyk śledczy), natomiast firma REDTEAM.PL odpowiada za III, ostatnią linię ekspertów SOC (threat hunter, threat hunting przy pomocy RedEye) oraz zespół CERT (threat intelligence). Dla klientów abonamentowych nasz zespół SOC działa w trybie 24/7/365 monitorując cyberbezpieczeństwo w czasie rzeczywistym.

Od kilkunastu lat jesteśmy związani z cyberbezpieczeństwem i informatyką śledczą, posiadamy wysokie kompetencje i kilkunastoletnie doświadczenie z zakresu zarówno defensywnych (blue team) jak i ofensywnych (red team) aspektów cyberbezpieczeństwa, a także prawdziwe laboratorium informatyki kryminalistycznej. Dzięki temu jesteśmy w stanie zaoferować światowej klasy usługę monitoringu bezpieczeństwa IT z wykrywaniem zagrożeń wewnętrznych.

Spółka RTFS Sp. z o.o. jest partnerską własnością spółek RED TEAM Sp. z o.o. oraz ForSec SA, która została powołana jako efekt kilkuletniej współpracy w ramach oferowania usługi SOC opartej o autorskie rozwiązanie do threat huntingu. Nazwa RTFS pochodzi od pierwszych liter dotychczasowego konsorcjum “RED TEAM – ForSec”. Nasza grupa kapitałowa posiada w całości polski kapitał. Partnerski RTFS SOC ma swoją siedzibę w ForSec, który posiada certyfikację ISO/IEC 27001 wydaną przez TUV NORD.

Poznaj RTFS

RTFS SOC oraz laboratorium informatyki śledczej znajdują się w siedzibie ForSec SA, na 7 piętrze biurowca klasy A DL Tower w Katowicach na al. Korfantego 138. Dostęp do SOCa chroniony jest czterema strefami dostępu. Istnieje możliwość zrealizowania wizyty referencyjnej w siedzibie RTFS.

SOC
SOC
SOC
SOC

CERT / CSIRT

ENISA

Zespół RTFS.PL SOC (RFC 2350) jest członkiem międzynarodowej organizacji Trusted Introducer zrzeszającej uznane zespoły reagowania na incydenty. Ponadto zespół REDTEAM.PL CERT jest wyszczególniony na oficjalnej witrynie Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) jako polski zespół reagowania na incydenty (CERT / CSIRT).

Praktyczna analiza powłamaniowa

Posiadamy realne kompetencje z zakresu analizy powłamaniowej, których efektem jest uznana publikacja naukowa o tytule “Praktyczna analiza powłamaniowa” (2017) wydana przez Wydawnictwo Naukowe PWN. Lider III linii SOC, Adam Ziaja jest także współautorem niespełna dziesięciu dokumentów Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dla zespołów CERT / CSIRT opublikowanych w latach 2013-2014, m.in. na temat informatyki śledczej oraz threat hunting (proaktywne wyszukiwanie zagrożeń) i threat intelligence (wyszukiwanie zagrożeń z wykorzystaniem białego wywiadu).

Wiemy w jaki sposób cyberprzestępcy przełamują zabezpieczenia ponieważ od ponad dekady przeprowadzamy autoryzowane symulacje ataków (whitehat), w postaci testów penetracyjnych oraz red teamingu, których celem jest znalezienie najsłabszych punktów w organizacji – dokładnie tak samo jak robią to prawdziwi atakujący.

Dzięki połączeniu ofensywnych i defensywnych kompetencji jesteśmy w stanie zaoferować wysoką jakość realizowanych usług cyberbezpieczeństwa.

Threat hunting i threat intelligence

Threat hunting oraz threat intelligence to zagadnienia, którymi zajmujemy się od dekady. Posiadamy realne techniczne kompetencje i dokonania związane z proaktywnym wyszukiwaniem zagrożeń jak i zaawansowaną analizą incydentów, w tym światowej klasy ataków APT (ang. Advanced Persistent Threat). Do realizacji usługi wykorzystujemy autorskie narzędzie RedEye.

W 2019 roku badania REDTEAM.PL doprowadziły do ujawnienia globalnego ataku badWPAD, którego ofiarami byli użytkownicy milionów komputerów na całym świecie. Nasze badanie zostało wyróżnione przez amerykański instytut SANS oraz otrzymaliśmy podziękowania od narodowych zespołów reagowania na incydenty m.in. Polski (CERT Polska, raport roczny 2019 str. 61/62), Estonii (CERT-EE) i Łotwy (CERT-LV). W 2020 roku opisaliśmy TTPs (ang. Tactics, Techniques, and Procedures) oraz IOC zaawansowanych ataków APT, które zostały przez nas zidentyfikowane i przeanalizowane – m.in. grupy cyberprzestępcze Sodinokibi / REvil oraz Black Kingdom. Efektem naszych działań była szeroko zakrojona współpraca z międzynarodowymi organami ścigania (również w roli biegłych sądowych).

Potrafimy nie tylko przeanalizować podatności 0-day (słabość oprogramowania na którą nie istnieją jeszcze poprawki bezpieczeństwa) ale również je znaleźć. Tylko na przełomie 2019/2020 roku otrzymaliśmy od firmy Google liczne podziękowania oraz łączną nagrodę wysokości $68,000 za zidentyfikowane i odpowiedzialnie zgłoszone podatności w przeglądarce Chrome. Ponadto w wyniku znalezionej przez nas podatności w mechanizmach firmy Apple pisały o nas światowe media, m.in. magazyn Forbes oraz ponownie zostaliśmy wyróżnieni przez amerykański instytut SANS – tym razem za badania ofensywne. Posiadamy również szereg podziękowań dostępnych na oficjalnych stronach internetowych podmiotów, którym już niespełna dekadę temu odpowiedzialnie zgłosiliśmy luki w zabezpieczeniach m.in. Adobe (2014), Apple (2012), BlackBerry (2012), Deutsche Telekom, Google (2013), Harvard University, Netflix (2013), Nokia (2013), Reddit, SoundCloud, Yandex (2013). Jesteśmy rozpoznawalnymi ekspertami, którzy od kilkunastu lat z powodzeniem zajmują się technicznymi aspektami cyberbezpieczeństwa.

Detekcja sieciowych zagrożeń

Typowe produkty do wykrywania sieciowych ataków nasłuchują komunikacji, a do detekcji wykorzystują setki wcześniej zdefiniowanych reguł. Podstawową wadą takiego rozwiązania jest brak zrozumienia dla większości zgłaszanych ostrzeżeń. Liczne alerty pojawiają się niezależnie od tego czy atak ma miejsce czy też nie. W ten sposób pomimo posiadania systemów bezpieczeństwa atak często pozostaje niezauważony, gdyż nie jest dostrzegany w gąszczu setek ostrzeżeń, które pojawiają się stale w produkcyjnym środowisku.

Hakerzy w trakcie ataków wykorzystują natywne mechanizmy systemów Windows w celu uzyskania poświadczeń. Oprogramowanie antywirusowe nie wykrywa obecności atakującego, który loguje się jako użytkownik. Detekcja oprogramowania antywirusowego polega na analizie działania oprogramowania, a nie użytkownika. Cyberprzestępcy wykorzystują to i wykonują ataki nie na podatne oprogramowanie, co z dużym prawdopodobieństwem mogłoby zostać wykryte przez systemy typu EDR (ang. Endpoint Detection and Response) lub SOAR (ang. Security Orchestration, Automation, and Response), ale na standardowe mechanizmy systemów Windows. Tego typu ataki nie są wykrywane przez zainstalowane na stacjach klienckich oprogramowanie, ponieważ wykonywane są na poziomie sieci wewnętrznej pomiędzy stacjami znajdującymi się w domenie Windows. W ten sposób grupy APT (ang. Advanced Persistent Threat) są w stanie uzyskać dostęp do danych pomimo posiadania przez organizację różnego rodzaju mechanizmów zabezpieczających stacje robocze.

RedEye

Zaimplementowane w oprogramowaniu RedEye podejście firmy REDTEAM.PL do wyszukiwania zagrożeń (threat hunting) bazuje na znajomości technik ataków (TTPs) oraz narzędzi wykorzystywanych przez zaawansowanych adwersarzy. Jest to jedyne rozwiązanie, które może wykryć zaawansowane ataki na środowisko Windows i usługę Active Directory (AD) bez konieczności posiadania agenta lub uprawnień. Dzięki zrozumieniu zarówno aspektów ofensywnych jak i defensywnych w oprogramowaniu RedEye zaimplementowane są reguły pozwalające wykryć ataki, które nie są identyfikowane przez oprogramowanie typu EDR. Z tego względu rozwiązanie RedEye stanowi uzupełnienie do oprogramowania antywirusowego i pokrewnych rozwiązań.

Badania cyberbezpieczeństwa

Zespół ekspertów REDTEAM.PL opublikował na techblogu liczne artykuły na temat technicznych aspektów cyberbezpieczeństwa:

Na zaproszenie Ministerstwa Obrony Singapuru firma REDTEAM.PL jako ofensywny zespół brała udział w międzynarodowych ćwiczeniach Critical Infrastructure Security Showdown 2020 (CISS2020-OL) organizowanych przez Politechnikę w Singapurze (iTrust SUTD). Celem ćwiczenia był atak na infrastrukturę krytyczną w postaci stacji uzdatniania wody (SWaT). W trakcie ćwiczeń zespół REDTEAM.PL skutecznie przełamał informatyczne zabezpieczenia i przejął bezpośrednią kontrolę nad systemem SCADA HMI.

Jako jedyny polski zespół SOC łączymy realne i wysokie kompetencje zarówno z zakresu ataku jak i obrony, a nasze badania cyberbezpieczeństwa są szeroko uznane na świecie.

Reagowanie na incydenty

Najistotniejszym aspektem usługi SOC / CERT są kompetencje technicznego zespołu, ponieważ to od poziomu wiedzy specjalistów będzie zależało cyberbezpieczeństwo organizacji.

The Pyramid of Pain

Na świecie szeroko uznana została tzw. piramida bólu, która określa jakie kompetencje są najtrudniejsze do zdobycia, w zakresie zarówno wykrywnia ataków (threat hunting) jak i reagowania na incydenty. Na szczycie piramidy jako najbardziej niedostępne, a zarazem najbardziej porządane znajdują się aspekty w jaki sposób działają cyberprzestępcy (TTPs) oraz z jakich narzędzi korzystają (ang. Tools) – tą wiedzę z nawiązką pokrywa zespół REDTEAM.PL. Z kolei wiedza o artefaktach systemowych wynika wprost z realnego doświadczenia w informatyce śledczej oraz pełnieniu funkcji biegłych sądowych – zarówno przez zespół ForSec jak i REDTEAM.PL.

Ponadto firma ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, w którym każdego miesiąca realizowane są dziesiątki analiz śledczych, w tym wydawane są opinie biegłych sądowych. Z kolei wiedza o sieciowych artefaktach wynika wprost z tworzenia przez REDTEAM.PL oprogramowania typu IDS / NIDS (ang. Network Intrusion Detection System) o nazwie RedEye, które to w unikalny sposób wykrywa ataki przeprowadzane w sieci lokalnej. Informacje o złośliwych domenach, adresach IP oraz hashach (IOC) dostarczane są przez nasz system CTI (Cyber Threat Intelligence), do którego trafiają informacje we współpracy z innymi międzynarodowymi zespołami reagowania na incydenty. Jesteśmy jedynym w kraju zespołem SOC, który składa się z ekspertów informatyki śledczej oraz ofensywnego cyberbezpieczeństwa.

Informatyka śledcza

ForSec posiada największe laboratorium informatyki kryminalistycznej w kraju, o wartości kilku milionów złotych, w którym prowadzimy kilkadziesiąt spraw miesięcznie. Na laboratorium składa się szereg profesjonalnego i certyfikowanego oprogramowania (m.in. FTK Forensic Toolkit oraz X-Ways Forensics) oraz sprzętu do informatyki śledczej (m.in. blokery sprzętowe, kopiarki dysków Logicube, produkty Cellebrite), pozwalającego należycie zabezpieczyć i przeanalizować materiał dowodowy z wielu nośników jednocześnie. Zespół terenowy laboratorium wykonuje zabezpieczenia cyfrowych dowodów (kopie binarne) na obszarze całego kraju w trybie 24/7. Jesteśmy w stanie zabezpieczyć materiał dowodowy nawet w pięciu lokalizacjach jednocześnie. Od wielu lat zajmujemy się również szkoleniami z zakresu informatyki śledczej oraz technik hackingu.

Laboratorium

Incydent bezpieczeństwa

Hakerskie włamanie? Atak cyberprzestępców? Nieuczciwy pracownik działający na szkodę przedsiębiorstwa? Naruszenie bezpieczeństwa danych osobowych? Pełnimy funkcję biegłych sądowych oraz posiadamy kilkanaście lat eksperckiego doświadczenia. Każdego dnia pomagamy organizacjom w skutecznym odpieraniu cyberataków. Zajmujemy się badaniem śladów aktywności, analizą powłamaniową, analizą incydentów, analizą logów, zdarzeń i pamięci RAM.

Hakerskie włamanie, i co teraz?

W przypadku wystąpienia incydentu najistotniejszą czynnością jest poprawne zabezpieczenie śladów. Nie rekomendujemy dokonywania zabezpieczenia przez osoby bez stosownego doświadczenia z zakresu informatyki śledczej. Nieudolne próby zabezpieczenia danych prowadzą do nadpisania potencjalnie istotnych informacji oraz naruszenia integralności materiału dowodowego. Prawidłowe zabezpieczenie cyfrowych śladów pozwala na wnikliwą analizę incydentu i umożliwia ustalenie szczegółów jak do niego doszło oraz jakie operacje dokonywał atakujący. W przypadku jeśli materiał dowodowy nie zostanie prawidłowo zabezpieczony to systemowe artefakty wraz z upływem czasu ulegają zatarciu – nawet jeśli użytkownik nie wykonuje na nim operacji, a system po prostu działa. Natomiast wyłączenie komputera z pominięciem wcześniejszego prawidłowego zabezpieczenia prowadzi do bezpowrotnej utraty danych ulotnych (ang. volatile data), które przechowywane są w pamięci systemu operacyjnego, a które to mogą zawierać istotne informacje dla analizy incydentu.

Jesteśmy w stanie prawidłowo zabezpieczyć materiał dowodowy przez osoby na co dzień pełniące funkcje biegłych sądowych, jak również należycie go przeanalizować za pomocą specjalistycznego sprzętu i oprogramowania w połączeniu z najwyższymi kompetencjami z zakresu informatyki śledczej i reagowania na incydenty. Posiadamy największe w kraju laboratorium cyfrowej kryminalistyki, które każdego miesiąca analizuje kilkadziesiąt spraw zarówno dla organów ścigania jak i prywatnych organizacji. Jesteśmy w stanie fizycznie, na terenie całego kraju i nie tylko, zabezpieczyć cyfrowe dowody przez prawidłowe wykonanie kopii binarnych z wykorzystaniem specjalistycznego sprzętu gwarantującego nienaruszalność materiału dowodowego.

Monitorowanie środowiska IT

Cyfrowe bezpieczeństwo to dziś podstawa funkcjonowania praktycznie każdej firmy i dlatego najważniejsza jest szybkość reakcji. W naszym SOC wspomagamy się technologiami dynamicznej ochrony, która służy do wykrywania nowych, nigdy wcześniej nie występujących rodzajów zagrożeń (unikalne próbki przy targetowanych atakach). Każda nowa próbka automatycznie analizowana jest w sandboxie, który symuluje zachowanie użytkownika, aby oszukać techniki mające na celu uniknięcie wykrycia złośliwego oprogramowania.

RedEye jest naszego autorstwa oprogramowaniem typu IDS / NIDS (ang. Network Intrusion Detection System) posiadającym szereg unikalnych reguł detekcji, które zostały przygotowane na bazie wieloletniego doświadczenia zarówno w ofensywnym jak i defensywnym cyberbezpieczeństwie. RedEye umożliwia wykrycie początkowych faz ataku w sieci lokalnej organizacji, zanim dojdzie do jego eskalacji, w tym wycieków informacji oraz zatarcia śladów obecności cyberprzestępcy. Nasze narzędzie pozwala na detekcję ataków, które nie są wykrywane przez oprogramowanie antywirusowe oraz endpoint protection / EDR. Rozwiązanie RedEye oferujemy wraz z usługą stałego monitorowania środowiska IT w postaci outsourcingu SOC.

W przypadku jeśli klient posiada juz wdrożone oprogramowanie typu SIEM to wykorzystujemy je w naszej pracy. Natomiast jeśli klient nie posiada systemu SIEM to istnieje możliwość wdrożenia go w ramach świadczenia usługi SOC.

Zajmujemy się również kwestiami takimi jak: testy bezpieczeństwa (testy penetracyjne), skany podatności i zarządzanie podatnościami oraz DLP.

Jesteśmy nastawieni nie tylko na wykrywanie zewnętrznych zagrożeń (m.in. szpiegostwa gospodardczego / szpiegostwa przemysłowego) ale również wewnętrznych intruzów (np. pracownika działającego na szkodę przedsiębiorstwa).

Adam Ziaja

Członek Zarządu

Lider trzeciej linii RTFS SOC / CERT oraz ekspert cyberbezpieczeństwa REDTEAM.PL. Posiada szerokie techniczne kompetencje z zakresu zarówno defensywnych jak i ofensywnych aspektów cyberbezpieczeństwa. Główny architekt narzędzia RedEye. Autor książki “Praktyczna analiza powłamaniowa” (PWN) oraz współautor wielu publikacji ENISA. Jest biegłym sądowy z listy Sądu Okręgowego w Warszawie. Posiada uznane techniczne certyfikaty z zakresu cyberbezpieczeństwa: Offensive Security Certified Professional (OSCP) – od 2015 roku, Offensive Security Wireless Professional (OSWP), eLearnSecurity Web application Penetration Tester (eWPT), Certificate X-Ways Forensics.

Daniel Suchocki

Członek Zarządu

Lider pierwszej i drugiej linii RTFS SOC oraz ekspert informatyki śledczej ForSec. Od ponad 15 lat zawodowo zajmuje się informatyką kryminalistyczną oraz analizą cyfrowych dowodów. Autor szkoleń z zakresu informatyki śledczej i hackingu. Jest biegłym sądowy z listy Sądu Okręgowego w Katowicach. Posiada uznane techniczne certyfikaty z zakresu cyberbezpieczeństwa i informatyki śledczej: EC-Council Certified Ethical Hacker (CEH), Cellebrite Certified Physical Analyst (CCPA), Cellebrite Certified Logical Operator (CCLO), Certificate X-Ways Forensics.

Maciej Karmoliński

Członek Zarządu

Absolwent kierunku Zarządzanie na Akademii Ekonomicznej w Katowicach oraz studiów MBA Akademii Leona Koźmińskiego w Warszawie. W branży informatyki śledczej od 12 lat w tym od 8 lat na stanowiskach kierowniczych. Specjalizuje się w procesach zarządzania bezpieczeństwem informacji. Współtwórca wielu prestiżowych projektów z zakresu bezpieczeństwa IT i informatyki śledczej w kraju i zagranicą. Prowadzi szkolenia z mobile forensics oraz informatyki śledczej, posiadacz certyfikatów Cellebrite Certified Physical Analyst (CCPA), Cellebrite Certified Logical Operator (CCLO).

Poznaj nasze podejście

Zajmujemy się realizacją najbardziej zaawansowanych technicznych aspektów cyberbezpieczeństwa, zarówno z zakresu obrony jak i ataku. Dzięki zróżnicowanemu doświadczeniu w wielu specjalizacjach bezpieczeństwa IT jesteśmy w stanie szerzej spojrzeć na realizację każdej poszczególnej usługi. Nasze podejście wynika z szerokiego oraz wieloletniego doświadczenia zawodowego w cyberbezpieczeństwie i opiera się na trzech podstawowych założeniach – prewencja, wykrywanie i reagowanie.

testy penetracyjne (testy bezpieczeństwa)

Prewencja

Zapobieganie przez testowanie istniejących zabezpieczeń oraz wykrywanie słabości, audyty bezpieczeństwa, testy bezpieczeństwa, testy penetracyjne, testy socjotechniczne, red teaming oraz skanowanie podatności.

threat hunting i threat intelligence

Wykrywanie

Proaktywna detekcja zagrożeń, threat intelligence i threat hunting przy pomocy naszego narzędzia RedEye oraz sprawdzonego oprogramowania typu endpoint protection celem skutecznego wykrywania zagrożeń.

informatyka śledcza i analiza powłamaniowa

Reagowanie

Reagowanie na incydenty, analiza złośliwego oprogramowania, analiza powłamaniowa oraz informatyka śledcza, w tym zgodne ze sztuką zabezpieczenie materiału dowodowego. Posiadamy status biegłego sądowego.

Copyright © 2017-2024 REDTEAM.PL All Rights Reserved