- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
В таблице 1 перечисляются возможные предвестники атаки неавторизованного доступа, объясняется причина, почему может быть выполнено каждое действие, и дается рекомендуемый ответ, чтобы потенциально предотвратить появление последующего инцидента
Предвестник |
Действия по предотвращению |
Инцидентам с неавторизованным доступом часто предшествует разведывательная активность с целью составления структуры узлов и услуг и идентификации уязвимостей. Активность может включать просмотры портов, уязвимостей, тесты по методу запрос-ответ, трассировку маршрутов, и захват заголовков, банеров. Такая активность обнаруживается, главным образом, с помощью СОВ и с помощью анализа журналов регистрации. |
Обработчики инцидентов должны выявить особые изменения при зондировании – например, неожиданный интерес к конкретному номеру порта или узлу. Если эта активность указывает на уязвимость, которая может быть использована, организация может иметь время заблокировать будущие атаки путем уменьшения этой уязвимости (например, блокирование услуги, модифицирование правил сетевого экрана). |
О возможности неавторизованного доступа сообщается публично и это представляет значительную угрозу для организации. |
Организация должна расследовать возможности неавторизованного доступа и, если возможно, изменить средства управления ИБ, чтобы минимизировать потенциальное воздействие этого инцидента на организацию. |
Лицо или система может наблюдать попытку физического доступа (например, злоумышленник пытается открыть запертую дверь критичного (охраняемого) помещения или использует заблокированный идентификатор). |
Служба безопасности должна задержать нарушителя. Должна быть определена цель этой активности и проведена проверка устойчивости физических и компьютерных средств управления безопасностью к данной угрозе. |
Указатели неавторизованного доступа
Злоумышленное действие |
Возможные указатели |
Компрометация узла |
Существование (наличие) неавторизованного инструментария, связанного с безопасностью. Необычный трафик к узлу и из узла (например, атакующий может использовать хост для атаки других систем). Изменения в конфигурации систем, включающие: ‑ модификации или дополнения процессов/услуг; ‑ неожиданные открытые порты; ‑ изменения в состоянии систем (повторные старты, закрытия); ‑ изменения в политиках журнала регистрации и данных; ‑ новая учетная запись пользователя или группы на административном уровне. |
Неавторизованная модификация данных (например, порча Web-сервера, FTP warez server) |
Оповещение об обнаружении вторжения в сеть. Увеличенное использование ресурсов. Сообщение пользователей о модификации данных (например, искаженный Web-сайт). Модификации критичных файлов (например, Web страниц). |
Неавторизованное использование учетной записи пользователя |
Попытки доступа к критичным файлам (например, файлам паролей). Неправильное использование учетных записей (например, применяется неиспользуемая учетная запись, учетная запись используется многими пользователями, большое число заблокированных учетных записей). |
Физические нарушения |
Сообщения пользователя о недоступности системы или сети. Изменения состояния системы (повторный запуск, закрытие). Аппаратные средства полностью или частично отсутствуют (то есть, система была вскрыта и конкретный компонент изъят). |
Неавторизованный доступ к данным (например, к базе данных информации пользователя, к файлам паролей) |
Оповещения об обнаружении вторжения, чтобы получить доступ к данным через FTP, HTTP и другие протоколы. Попытки доступа к критичным файлам узла. |