Computer Security Incident Response Team (CSIRT)

Incidenthantering (CSIRT)

Har er organisation drabbats av en pågående cyberattack, ransomware, bedrägeri, DDoS eller Business Email Compromise?

Incidenthantering

Återhämtning och hållbar återuppbyggnad

Efter att en incident har begränsats fokuserar återställningsfasen på återgång av system och verksamhet till ett normalt och säkert läge. Processen kan omfatta flera centrala aktiviteter, såsom att återställa data från verifierade säkerhetskopior, bygga om eller ominstallera komprometterade system samt säkerställa att alla skadliga artefakter har avlägsnats fullständigt.

Utsatt för ett cyberbrott?

Är ni under attack?

Agera direkt.

Ring oss för en kostnadsfri situationsbedömning och initial rådgivning:

Om du är privatperson och har blivit utsatt för ett cyberbrott, tveka inte att kontakta lokala myndigheter och/eller ditt försäkringsbolag.

All brådskande eller känslig kommunikation ska ske med PGP till csirt[@]truesec.com eller via telefon till något av ovanstående nummer.

cybersecurity monitoring

Kommunikation med incidenthanterings-teamet

Använd alltid PGP för säker kommunikation

Truesec CSIRT kan nås via csirt[@]truesec.com, och den publika PGP-nyckeln för adressen csirt[@]truesec.com används för att digitalt signera eller kryptera kommunikation. Vi rekommenderar att parter som kommunicerar med CSIRT använder PGP.

Ytterligare kommunikationskanaler, såsom Teams och Signal, finns tillgängliga för kommunikation mellan Truesec CSIRT och berörda parter.

Postadress: Truesec CSIRT, Luntmakargatan 18, 111 37 Stockholm, Sverige

Certifierade experter inom cybersäkerhet

Ett betrott val för Fortune 500-företag för tillförlitlig och effektiv incidenthantering

Snabb respons för att minimera skada och återställa verksamheten

Expertis inom digital forensik och cyberincidenthantering

Betrodda av ledare

Truesec har byggt upp ett starkt anseende som en betrodd auktoritet inom incidenthantering och har framgångsrikt hanterat komplexa incidenter för Fortune 500-företag och ledande försäkringsbolag.

Dokumenterad erfarenhet

Vårt team lägger över 35 000 timmar varje år på incidenthantering och utredning av cyberintrång. Vår omfattande erfarenhet från ett brett spektrum av branscher gör att vi kan leverera snabba, effektiva och tillförlitliga lösningar för alla typer av cybersäkerhetsutmaningar.

Erkända inom branschen

Truesecs tjänster inom incidenthantering har uppmärksammats av såväl branschexperter som kunder. Vi har mottagit ett flertal utmärkelser och branschpriser för exceptionell leverans, snabb responstid och effektiv hantering av incidenter.

Snabb hantering av intrång med dokumenterad erfarenhet

40+
Heltidsmedarbetare inom incidenthantering
60+
Specialister inom cybersäkerhet med olika kompetenser
120 000+
Ett team med över 120 000 timmar av erfarenhet inom incidenthantering

Vi minimerar effekterna av cyberintrång

Omedelbar incidenthantering

När en IT-miljö har komprometterats, känslig information har läckt eller krypterats, eller obehörig nätverksaktivitet upptäcks, agerar vi omedelbart. När vi får samtalet påbörjar vi insatsen direkt.

Support på distans eller på plats

Vårt team genomför en snabb lägesbedömning och påbörjar nödvändiga insatser, både på distans och på plats om situationen kräver lokalnärvaro av olika kompetenser.

Forensisk utredning och återställning av infrastruktur

En forensisk utredning inleds för att fastställa intrångsväg, påverkade system och eventuell stöld av data. Parallellt koordinerar en incident manager krishantering och cyberjuridiska frågor, medan ett annat team påbörjar återuppbyggnaden av infrastrukturen och räddar så mycket data som möjligt.

Ledande aktör vid hantering av större cyberincidenter i Sverige

Vi har i regel inte möjlighet att offentliggöra vilka våra kunder är, men vi har varit involverade i utredning av nästintill alla större cyberincidenter i Sverige, många av dem har också uppmärksammats i media. Under dessa incidenter arbetar vi outtröttligt, dygnet runt, även kvällar och helger, eftersom den drabbade verksamhetens fortsatta existens ofta står på spel.

Vårt team består av högt kvalificerade specialister som under stark tidspress kan driftsätta, återställa eller bygga upp IT-miljöer från grunden med hjälp av den senaste tekniken och moderna säkerhetsfunktioner.

Vår omfattande erfarenhet från en mängd olika IT-miljöer ger oss unika insikter i hur organisationer kan stärka sin säkerhet och förebygga liknande incidenter i framtiden.

Vår metod för incidenthantering baseras på dessa sju steg:

Vår metodik för CSIRT:s operativa arbete

01 Inledande kontakt/uppstartsmöte

Möte med Incident Manager

Truesecs Incident Manager kommer i samarbete med er organisation, att snabbt att fastställa vad som har inträffat, omfattningen av intrånget och ta fram en åtgärdsplan. Vi hjälper er även att etablera alternativa kommunikationskanaler, eftersom e-posten i de flesta fall kan antas vara komprometterad.

02 Förberedelse

Insamling av information

Våra experter inleder utredningen genom att förbereda miljön för informationsinsamling i syfte att förstå både IT-miljön och själva incidenten. Arbetet omfattar intervjuer och insamling av data. Att säkra bevis för senare analys är avgörande, eftersom all information kan vara av stor betydelse.

03 Begränsning av incidenten

Minimera skadan

I begränsningsfasen genomför vi åtgärder för att begränsa skadan och intrånget. Tidigt i incidenthanteringen initierar vi aktiv säkerhetsövervakning via Truesecs Security Operations Center (SOC) för att säkerställa full insyn i miljön. Detta är särskilt värdefullt om hotaktören försöker fortsätta intrånget eller förflytta sig inom miljön.

istock

04 Forensisk analys och utredning

Utredningen påbörjas

I denna fas inleder vi en forensisk utredning för att säkra spår efter hotaktören, fastställa om företags- eller personuppgifter har röjts eller läckt samt kartlägga vad hotaktören har gjort i miljön. Detta gör det möjligt att i detalj fastställa hur intrånget genomfördes. Parallellt genomför vi underrättelsearbete kring angriparna genom analys av artefakter i båda öppna och stängda datakällor

05 Eliminering

Avlägsnande och upprensning

Baserat på resultaten från den forensiska utredningen vidtas exakta åtgärder för att eliminera hotaktören från miljön. Syftet är att avlägsna alla kvarvarande artefakter kopplade till hotaktören och återställa miljön till ett rent och pålitligt tillstånd.

06 Återställning och återuppbyggnad

Återställning och återuppbyggnad av system

I återställningsfasen syftar aktiviteterna till att återfå operativ kapacitet på ett så effektivt och samtidigt säkert sätt som möjligt. Vid behov kan vi även hjälpa till att bygga upp system som inte går att återställa.

07 Avslutande rapport/Post-Incident

Uppföljning och rapportering

Efter genomförd incidenthantering och återställning färdigställer Truesec CSIRT en incidentrapport och genomför en avrapportering och återkoppling. Detta säkerställer att organisationens operativa rutiner och incidenthanteringsplaner kan uppdateras utifrån de erfarenheter och insikter som erhållits från incidenten. Truesec kan även tillhandahålla aktiv säkerhetsövervakning under en förutbestämd tidsperiod för att säkerställa en smidig återgång till ordinarie drift.

Åtgärder och tjänster efter intrång

När den tidskritiska och mest akuta delen av incidenten är över tar efterintrångsarbetet vid. Detta omfattar utbildning av personal, dokumentation av nya processer, förändringar i larmsättning och övervakning, återställning av icke-kritiska system samt, vid behov, ersättning av påverkad infrastruktur.

Ett betrott och certifierat CSIRT

Truesec Cybersecurity Incident Response Team is a certified FIRST member.
Image highlighting Truesec Incident Response Team as associate partners of the No More Ransom project by Europol.