BIS Journal №4(47)2022

2 декабря, 2022

Dr.Web FixIt! Новый уровень расследования ИБ-инцидентов

В августе 2022 года компания «Доктор Веб» представила широкой публике новый облачный сервис Dr.Web FixIt! — функциональный инструмент, в основе которого лежат российские технологии и собственная многолетняя экспертиза компании «Доктор Веб». Сервис предназначен для дистанционного анализа вирусозависимых компьютерных инцидентов на платформе Windows и устранения их последствий.

В его основе — обширная база знаний с информацией о различных типах заражений операционной системы, способах обнаружения признаков компрометации, а также набор алгоритмов выявления и лечения угроз.

С одной стороны, Dr.Web FixIt! — это отдельное многофункциональное средство борьбы с киберугрозами, дополняющее существующие на рынке антивирусные инструменты. С другой — мощное диагностическое решение, которое помогает оценивать состояние компьютеров и выявлять всевозможные неполадки системы и установленного в ней ПО.

 

Показания к использованию Dr.Web FixIt!

  • Есть подозрение на вирусную активность.
  • Обнаружен аномальный трафик с компьютера в сети.
  • Необходима проверка компьютера после обнаружения и нейтрализации атаки антивирусными средствами.
  • Нужно найти отсутствующие обновления ПО/ОС, которые закрывают определённые уязвимости.
  • Требуется устранить последствия заражения вредоносным ПО.
  • Необходимо собрать данные при расследовании целевых атак на информационные системы.
  • Нужно найти нарушения правил и политик ИБ компании.
  • Нужно выяснить причины произошедших заражений и других инцидентов ИБ.

 

Особенности сервиса

Dr.Web FixIt! можно сравнить с работой целой команды Digital Forensics-специалистов, которые шаг за шагом собирают улики киберпреступления и анализируют вектор заражения. Только здесь сбор сведений происходит автоматически, а благодаря фильтрам на анализ полученных данных затрачивается меньше ресурсов и человеко-часов.

Фильтры позволяют выполнять диагностику для выявления аномалий и потенциальных заражений, поиска следов проникновения злоумышленников, возможных уязвимостей и других угроз безопасности (например, отсутствия важных патчей и обновлений ОС). Таким образом, сервис помогает изучать целевую систему по целому ряду параметров и выявлять в ней наличие самых разных проблем. В том числе — присутствие новейшего вредоносного ПО, включая программы, используемые для целевых атак и не обнаруживаемые никакими иными инструментами.

По завершении диагностики Dr.Web FixIt! позволяет производить лечение заражений, а также исправлять другие выявленные недочёты. Например, корректировать настройки системы или вносить изменения в реестр Windows.

 

Принцип работы

Для первичной оценки состояния проверяемого компьютера (например, следов присутствия в нём неизвестных вредоносных программ или иных признаков компрометации) специалист генерирует диагностическую утилиту Dr.Web FixIt!. Пользователю исследуемой машины лишь необходимо запустить этот модуль — он автоматически сформирует отчёт со всей необходимой диагностической информацией.

Полученный отчёт передаётся в сервис, где оператор, ответственный за разбор инцидента, применяет необходимые фильтры для получения среза интересующих его данных. Существует возможность как использования предустановленных фильтров, так и создания собственных.

По окончании анализа отчёта оператор отмечает выявленные проблемы и выбирает действия и команды, необходимые для лечения целевого компьютера. На этом этапе формируется уникальный экземпляр лечащей утилиты Dr.Web FixIt!. В процессе работы она внесёт исправления, необходимые именно той конкретной машине, на которой проводилась первичная диагностика. Пользователю останется запустить её, а все действия по исправлению проблем она выполнит сама — в соответствии с заданным скриптом (сценарием) лечения (рис. 1).

Рисунок1. Создание лечащей утилиты Dr.Web FixIt! с применением необходимых команд

 

После того как лечащая утилита заканчивает работу, она готовит новый отчёт, который также загружается в сервис. Оператор применяет к новому отчёту нужные фильтры и проверяет данные. Если проблемы устранены, задача закрывается. В противном случае формируется новая лечащая утилита, в которую при необходимости добавляются новые команды. Этот процесс повторяется до тех пор, пока инцидент не будет решён успешно.

Утилита Dr.Web FixIt! не требует установки, поэтому её использование не приведёт к конфликту с уже установленными сторонними антивирусами. 

 

Кому необходим Dr.Web FixIt!

В первую очередь Dr.Web FixIt! предназначен для специалистов, в чьи обязанности входит мониторинг безопасности компьютерной инфраструктуры и разбор ИБ-инцидентов. То есть специалистам SOC-центров (Security Operation Center). Особенно он актуален в случаях, когда к исследуемой машине нет физического доступа технического персонала соответствующей квалификации.

Кроме того, Dr.Web FixIt! полезен и частным специалистам в области информационной безопасности, и таким компаниям, где квалификация системных администраторов не позволяет грамотно анализировать компьютерные инциденты, связанные с действием вредоносных программ и атаками киберпреступников. Его использование даёт бизнесу возможность оптимизировать расходы на содержание технического персонала.

Dr.Web FixIt! может применяться и для общей диагностики компьютеров по широкому спектру критериев. Например, для поиска потенциального конфликта между установленным ПО, поиска ошибок в работе штатных антивирусных продуктов Dr.Web, установленных на целевой машине, и многих других сценариев.

 

Особенности лицензирования

Сервис Dr.Web FixIt! лицензируется по числу задач. Задача — это совокупность мероприятий, в рамках которых выполняется анализ и лечение компьютера. Задачи имеют ограниченный срок действия — 10 дней, по истечении которого все сформированные отчёты остаются доступны, но выполнение новых действий становится невозможным. Для того чтобы продолжить лечение компьютера, потребуется открыть новую задачу, куда можно будет загрузить созданные ранее отчёты. В настоящее время существует возможность приобрести пакеты по 1, 10, 20, 50 или 100 задач. При этом срок лицензии Dr.Web FixIt! — 1 год.

 

Экспертное сопровождение задачи

Приобрести сертификат экспертного сопровождения можно через личный кабинет бизнес-пользователя. В отличие от стандартных, задачи с экспертным сопровождением не имеют ограничений жизненного цикла — они бессрочные.

Экспертное сопровождение задачи может потребоваться, если необходимо:

  • проанализировать данные, полученные с помощью Dr.Web FixIt!;
  • помочь в устранении последствий заражения;
  • определить потенциальные масштабы ущерба на основе анализа обнаруженных вредоносных файлов;
  • проконсультироваться по мерам минимизации потерь и исключению повторения атак.

Поступающая в рамках работы сервиса в «Доктор Веб» информация пользователей регламентируется политикой в области конфиденциальности. Компания обрабатывает её в соответствии с законами РФ и прилагает все возможные усилия для её защиты.

 

***

Облачный сервис Dr.Web FixIt! для удалённой диагностики инцидентов ИБ и устранения их последствий позволяет решать вопросы поиска и нейтрализации киберугроз на компьютерах под управлением Windows и улучшать ИБ-защищённость предприятий. Для более детального знакомства с сервисом вы можете запросить демодоступ, после чего принять решение о том, подходит ли Dr.Web FixIt! для решения ваших задач.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

29.03.2024
Евросоюз обозначил ИБ-угрозы на ближайшие шесть лет
29.03.2024
В законопроекте об оборотных штрафах есть лазейки для злоупотреблений
29.03.2024
«Когда мы говорим об учителях, то подошли бы и китайские планшеты»
28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных