BIS Journal №4(47)2022

2 декабря, 2022

Dr.Web FixIt! Новый уровень расследования ИБ-инцидентов

В августе 2022 года компания «Доктор Веб» представила широкой публике новый облачный сервис Dr.Web FixIt! — функциональный инструмент, в основе которого лежат российские технологии и собственная многолетняя экспертиза компании «Доктор Веб». Сервис предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов на платформе Windows и устранения их последствий.

В его основе — обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз.

С одной стороны, Dr.Web FixIt! — это отдельное многофункциональное средство борьбы с киберугрозами, дополняющее существующие на рынке антивирусные инструменты. С другой — мощное диагностическое решение, которое помогает оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.

 

Показания к использованию Dr.Web FixIt!

  • Есть подозрение на вирусную активность.
  • Обнаружен аномальный трафик с компьютера в сети.
  • Необходима проверка компьютера после обнаружения и нейтрализации атаки антивирусными средствами.
  • Нужно найти отсутствующие обновления ПО/ОС, которые закрывают определённые уязвимости.
  • Требуется устранить последствия заражения вредоносным ПО.
  • Необходимо собрать данные при расследовании целевых атак на информационные системы.
  • Нужно найти нарушения правил и политик ИБ компании.
  • Нужно выяснить причины произошедших заражений и других инцидентов ИБ.

 

Особенности сервиса

Dr.Web FixIt! можно сравнить с работой целой команды Digital Forensics-специалистов, которые шаг за шагом собирают улики киберпреступления и анализируют вектор заражения. Только здесь сбор сведений происходит автоматически, а благодаря фильтрам на анализ полученных данных затрачивается меньше ресурсов и человеко-часов.

Фильтры позволяют выполнять диагностику для выявления аномалий и потенциальных заражений, поиска следов проникновения злоумышленников, возможных уязвимостей и других угроз безопасности (например, отсутствия важных патчей и обновлений ОС). Таким образом, сервис помогает изучать целевую систему по целому ряду параметров и выявлять в ней наличие самых разных проблем. В том числе — присутствие новейшего вредоносного ПО, включая программы, используемые для целевых атак и не обнаруживаемые никакими иными инструментами.

По завершении диагностики Dr.Web FixIt! позволяет производить лечение заражений, а также исправлять другие выявленные недочёты. Например, корректировать настройки системы или вносить изменения в реестр Windows.

 

Принцип работы

Для первичной оценки состояния проверяемого компьютера (например, следов присутствия в нём неизвестных вредоносных программ или иных признаков компрометации) специалист генерирует диагностическую утилиту Dr.Web FixIt!. Пользователю исследуемой машины лишь необходимо запустить этот модуль — он автоматически сформирует отчёт со всей необходимой диагностической информацией.

Полученный отчёт передаётся в сервис, где оператор, ответственный за разбор инцидента, применяет необходимые фильтры для получения среза интересующих его данных. Существует возможность как использования предустановленных фильтров, так и создания собственных.

По окончании анализа отчёта оператор отмечает выявленные проблемы и выбирает действия и команды, необходимые для лечения целевого компьютера. На этом этапе формируется уникальный экземпляр лечащей утилиты Dr.Web FixIt!. В процессе работы она внесёт исправления, необходимые именно той конкретной машине, на которой проводилась первичная диагностика. Пользователю останется запустить её, а все действия по исправлению проблем она выполнит сама — в соответствии с заданным скриптом (сценарием) лечения (рис. 1).

Рисунок1. Создание лечащей утилиты Dr.Web FixIt! с применением необходимых команд

 

После того как лечащая утилита заканчивает работу, она готовит новый отчёт, который также загружается в сервис. Оператор применяет к новому отчёту нужные фильтры и проверяет данные. Если проблемы устранены, задача закрывается. В противном случае формируется новая лечащая утилита, в которую при необходимости добавляются новые команды. Этот процесс повторяется до тех пор, пока инцидент не будет решён успешно.

Утилита Dr.Web FixIt! не требует установки, поэтому её использование не приведёт к конфликту с уже установленными сторонними антивирусами. 

 

Кому необходим Dr.Web FixIt!

В первую очередь Dr.Web FixIt! предназначен для специалистов, в чьи обязанности входит мониторинг безопасности компьютерной инфраструктуры и разбор ИБ-инцидентов. То есть специалистам SOC-центров (Security Operation Center). Особенно он актуален в случаях, когда к исследуемой машине нет физического доступа технического персонала соответствующей квалификации.

Кроме того, Dr.Web FixIt! полезен и частным специалистам в области информационной безопасности, и таким компаниям, где квалификация системных администраторов не позволяет грамотно анализировать компьютерные инциденты, связанные с действием вредоносных программ и атаками киберпреступников. Его использование даёт бизнесу возможность оптимизировать расходы на содержание технического персонала.

Dr.Web FixIt! может применяться и для общей диагностики компьютеров по широкому спектру критериев. Например, для поиска потенциального конфликта между установленным ПО, поиска ошибок в работе штатных антивирусных продуктов Dr.Web, установленных на целевой машине, и многих других сценариев.

 

Особенности лицензирования

Сервис Dr.Web FixIt! лицензируется по числу задач. Задача — это совокупность мероприятий, в рамках которых выполняется анализ и лечение компьютера. Задачи имеют ограниченный срок действия — 10 дней, по истечении которого все сформированные отчёты остаются доступны, но выполнение новых действий становится невозможным. Для того чтобы продолжить лечение компьютера, потребуется открыть новую задачу, куда можно будет загрузить созданные ранее отчёты. В настоящее время существует возможность приобрести пакеты по 1, 10, 20, 50 или 100 задач. При этом срок лицензии Dr.Web FixIt! — 1 год.

 

Экспертное сопровождение задачи

Приобрести сертификат экспертного сопровождения можно через личный кабинет бизнес-пользователя. В отличие от стандартных, задачи с экспертным сопровождением не имеют ограничений жизненного цикла — они бессрочные.

Экспертное сопровождение задачи может потребоваться, если необходимо:

  • проанализировать данные, полученные с помощью Dr.Web FixIt!;
  • помочь в устранении последствий заражения;
  • определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов;
  • проконсультироваться по мерам минимизации потерь и исключению повторения атак.

Поступающая в рамках работы сервиса в «Доктор Веб» информация пользователей регламентируется политикой в области конфиденциальности. Компания обрабатывает её в соответствии с законами РФ и прилагает все возможные усилия для её защиты.

 

***

Облачный сервис Dr.Web FixIt! для удалённой диагностики инцидентов ИБ и устранения их последствий позволяет решать вопросы поиска и нейтрализации киберугроз на компьютерах под управлением Windows и улучшать ИБ-защищённость предприятий. Для более детального знакомства с сервисом вы можете запросить демодоступ, после чего принять решение о том, подходит ли Dr.Web FixIt! для решения ваших задач.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте
26.03.2024
Хакеры не оставляют Канаду в покое
26.03.2024
Binance снова ищет покупателя на свои российские активы
26.03.2024
Безумцы или сознательные соучастники. Кто потворствует кредитным мошенникам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных