0 800 309 114
June 15, 2026
8 хвилин
DFIR - це поєднання двох критичних дисциплін: Digital Forensics (цифрова криміналістика) та Incident Response (реагування на інциденти). Разом вони відповідають на питання: що сталося, як це стало можливим, хто це зробив і що зробити, щоб це не повторилося.
В українських реаліях 2025–2026 років DFIR є не просто «хорошою практикою» - це юридична необхідність. Постанова НБУ №143та Закон 4336-IX вимагають документованого розслідування інцидентів і звітностіперед CERT-UA.
Цифрова криміналістика (форензика) - це методологія збору, збереження та аналізу цифрових доказів так, щоб вони зберегли юридичну силу. Ключовий принцип: будь-яке торкання до зараженої системи має бути задокументоване.
• Образи дисків (disk images) - побутові копії накопичувачів.
• Дампи оперативної пам'яті (memory dump) - містять запущені процеси, паролі, шкідливий код.
• Мережеві логи та pcap-файли - хронологія з'єднань.
• Артефакти файлової системи: реєстр Windows, bashhistory, prefetch-файли.
• Часові мітки (timestamps) - відновлення хронології атаки.
• EnCase, FTK (Forensic Toolkit) - комерційні платформи для корпоративних розслідувань.
• Autopsy + The Sleuth Kit - відкрите ПЗ для форензичного аналізу.
• Volatility - аналіз оперативної пам'яті.
• KAPE (Kroll Artifact Parser and Extractor) - швидкийзбір артефактів з живих систем.
• Velociraptor - DFIR на рівні корпоративного парку машин.
Chain of custody (ланцюг зберігання доказів) - це документований запис кожного дотику до цифрового доказу: хто, коли, де, з якою метою. Без нього результати розслідування неможливо використати в суді або для страхової виплати.
Типова помилка українських компаній: ІТ-фахівець «швидко перевіряє» заражений сервер і цим знищує можливість юридичного переслідування зловмисника. Перше правило DFIR: не торкайся системи без протоколу.
1. Підготовка (Preparation) - плани, команди, контакти, резервні копії.
2. Ідентифікація (Detection & Analysis) - підтвердження факту інциденту, оцінка масштабу.
3. Стримування (Containment) - ізоляція заражених систем без знищення доказів.
4. Усунення (Eradication) - видалення шкідливого ПЗ, закриття векторів входу.
5. Відновлення (Recovery) - поетапне повернення систем у продуктивне середовище.
6. Post-Incident Activity - звіт, lessons learned,оновлення захисту.
✅ Зафіксувати час виявлення інциденту (точний timestamp).
✅ НЕ перезавантажувати та НЕ вимикати заражені системибез DFIR-фахівця.
✅ Ізолювати сегмент мережі (від'єднати від інтернету, але залишити живим).
✅ Зробити дамп оперативної пам'яті до будь-яких дій.
✅ Зберегти всі логи (SIEM, мережеві пристрої, хости).
✅ Повідомити CERT-UA протягом 72 годин (вимога 4336-IX).
✅ Активувати страховку (якщо є кіберстрахування).
✅ Не коментувати інцидент публічно до завершення розслідування.
SHERIFF Cybersecurity надає послуги DFIR для українського бізнесу та держсектору: від першого реагування до підготовкизвітів у форматі CERT-UA та судових інстанцій.
