ile faktycznie kosztuje
incydent.
Na podstawie naszych wewnętrznych danych dotyczących reagowania na incydenty oraz zweryfikowanych raportów publicznych z lat 2024–2025 — z wielu branż i regionów geograficznych.
zanim wpadniesz w panikę,
oceniaj sytuację.
Odpowiedz na cztery pytania. Wygenerujemy na bieżąco ocenę powagi sytuacji oraz pierwsze cztery działania, które Twój zespół powinien podjąć natychmiast — zanim ktokolwiek w gniewie dotknie klawiatury.
▸ Pierwsze cztery działania
- Odizoluj hosty, których dotyczy problem, od sieci — nie wyłączaj zasilania.
- Zachowaj kopie w tle pamięci i woluminów na co najmniej jednym hoście.
- Unieważnij poświadczenia używane w ciągu ostatnich 72 godzin; dokonaj rotacji kont serwisowych.
- Nawiąż most komunikacyjny z PWN•ALL przed dotknięciem kopii zapasowych.
cztery etapy.
jeden most.
Każdy incydent obsługujemy za pośrednictwem jednego, podlegającego audytowi mostu reagowania — Państwa zespół, nasi analitycy DFIR, wspólna oś czasu i potwierdzenia na każdym etapie.
Ograniczanie
Izolacja na poziomie sieci bez niszczenia dowodów. Zatrzymujemy ruch boczny na przełączniku, blokujemy C2, zamrażamy konta uprzywilejowane i zabezpieczamy pamięć na hostach pośrednich.
Zakres
Analiza kryminalistyczna każdego zaszyfrowanego zasobu, wektora pierwszego dostępu, trwałości i śladów eksfiltracji. Identyfikujemy odmianę, taktyki, techniki i procedury operatora oraz czas przebywania.
Odzyskiwanie
Odbudowa w środowisku typu „clean room”, sprawdzanie integralności kopii zapasowych, dopasowywanie deszyfratorów do naszej wewnętrznej biblioteki oraz — w przypadku istnienia kluczy — stopniowe odszyfrowywanie danych produkcyjnych.
Wzmocnienie
Usunięcie przyczyn źródłowych, czyszczenie tożsamości, wdrożenie EDR/MFA tam, gdzie ich brakuje, oraz pisemny raport, który zarząd, ubezpieczyciel i organ regulacyjny będą w stanie faktycznie przeczytać.
każdy szczep ma
słaby punkt. My go znajdujemy.
Nasza biblioteka badań nad narzędziami deszyfrującymi oraz informacje dotyczące negocjacji są aktualizowane na podstawie prawdziwych przypadków, które rozwiązujemy co tydzień. Jeśli istnieje sposób na odzyskanie danych bez płacenia okupu, to my go znajdziemy jako pierwsi.
LockBit • BlackCat • Play
- Kontroler domeny i celowanie Veeam
- Wymazanie kopii w tle za pomocą vssadmin/WMI
- Stopniowe wycieki danych przez MEGA/Rclone
- Częściowe odzyskiwanie kluczy tam, gdzie to możliwe
Akira • Royal • Rhysida
- Zatrzymanie i szyfrowanie ESXi na warstwie VMFS
- Oprogramowanie ransomware typu ELF dla systemu Linux na urządzeniach
- Odzyskiwanie woluminów na poziomie magazynu danych
- Audyt integralności po stronie hiperwizora
Cl0p • Karakurt • RansomHub
- Czysta kradzież danych, bez szyfrowania
- Monitorowanie i usuwanie stron, na których doszło do wycieku
- Koordynacja ujawniania informacji zgodnie z prawem
- Komunikacja z operatorami zarządzana przez nas
analityk już
patrzy na zegar.
W momencie, gdy zadzwonisz, uruchamia się wspólny portal z działaniami opatrzonymi sygnaturą czasową, zabezpieczeniem dowodów i tablicą oceny zagrożenia na żywo. Twój ubezpieczyciel i zespół prawników mogą dołączyć z uprawnieniami tylko do odczytu.
Żadnych tajemnic. Żadnej ciszy.
Każdy incydent w PWN-ALL przebiega według tego samego szablonu mostu, który akceptują już organy regulacyjne i ubezpieczyciel cyberbezpieczeństwa. Widzisz to samo, co my. Zatwierdzasz każde destrukcyjne działanie. Nic nie jest szyfrowane, usuwane ani opłacane bez Twojej zgody.
Po opanowaniu sytuacji otrzymujesz raport dotyczący łańcucha dowodowego, oś czasu zgodną z modelem MITRE ATT&CK oraz plan wzmocnienia zabezpieczeń na 30/60/90 dni — a nie plik PDF pełen zrzutów ekranu.
pytania
, które ludzie zadają o 3 nad ranem.
Czy powinniśmy zapłacić okup?
Prawie nigdy nie jest to właściwy pierwszy krok. Negocjujemy tylko jako ostateczny środek, podczas gdy oceniane są opcje odzyskania danych, i tylko po uzyskaniu zgody prawnej i sankcyjnej. W około 94% naszych przypadków możliwe jest pełne lub częściowe odzyskanie danych bez płacenia okupu.
Jak szybko możecie być na linii?
Nasza umowa SLA przewiduje, że w ciągu 60 minut od pierwszego zgłoszenia analityk dołączy do wspólnego połączenia z Państwa zespołem. Wskazówki dotyczące ograniczania skutków ataku zazwyczaj pojawiają się w ciągu pierwszych 15 minut, podczas gdy równolegle trwa ocena zakresu zdarzenia.
Wyłączyliśmy już wszystko. Czy to źle?
Nie jest to idealne rozwiązanie — pamięć ulotna przechowuje klucze, wstrzyknięte procesy i ślady operatora — ale jest to możliwe do odzyskania. Nie uruchamiajcie niczego, dopóki nie będziemy na linii. Mamy procedury dotyczące zimnej selekcji.
Czy współpracujecie z naszym ubezpieczycielem cyberbezpieczeństwa?
Tak. PWN-ALL jest skonstruowany tak, aby można go było podłączyć do standardowych paneli IR. Dostarczamy ubezpieczycielowi działania opatrzone sygnaturą czasową, kontrolę kosztów oraz raport końcowy w formacie akceptowanym przez większość ubezpieczycieli.
Co się stanie, jeśli dane zostały nie tylko zaszyfrowane, ale również skradzione?
Osobno badamy zakres wycieku: co zostało zabrane, skąd i na jak długo. Następnie koordynujemy ujawnienie informacji, kwestie prawne oraz — w stosownych przypadkach — monitorowanie stron, na których doszło do wycieku, oraz komunikację z operatorami.
nie czekaj na
poniedziałkowego poranka.
Z każdą godziną zwłoki kopie zapasowe są kasowane, dowody tracą ważność, a operatorzy sięgają coraz głębiej. PWN-ALL odpowiada tego samego dnia, w weekendy, w święta — zegarowi to nie przeszkadza, nam też nie.
50% ataków nadal kończy się szyfrowaniem. Nie czekaj, aby dowiedzieć się, do której połowy należysz.