- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
При рефлекторной атаке узел с выдуманным адресом источника посылает много запросов на обслуживание на промежуточный узел. Промежуточный узел генерирует ответ на каждый запрос и передает эти ответы к выдуманному адресу. Из-за того, что промежуточный узел невольно выполняет эту атаку, то этот узел является рефлектором. Во время рефлекторной атаки отказ в обслуживании может происходить к хосту с выдуманным адресом, к самому рефлектору или к обоим хостам. Примеры общеиспользуемых услуг рефлектора включают эхо (порт 7), загрузка (порт 19), DNS (порт 53), Простой протокол управления сетью (SNMP) (порт 161) и Протокол управления ключами Ассоциации безопасности Internet (порт 500).
В некоторых случаях два рефлектора могут быть использованы, чтобы создать автономную DoS. Атакующий может посылать запросы к рефлектору, используя выдуманный адрес источника другого рефлектора. Поэтому, когда первый рефлектор генерирует свои ответы, он должен посылать их ко второму рефлектору. Если эта комбинация рефлекторов выбрана правильно, то между двумя рефлекторами возникает контур.
Большинство атак рефлектора может быть предотвращено через множества правил сетевых и узловых экранов, которые отражают подозрительные комбинации портов источника и пунктов назначения.
33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
Подобно рефлекторной атаке, усилительная атака основана на передаче запросов с выдуманным адресом источника к промежуточному узлу. Однако усилительная атака не использует один промежуточный узел, ее цель – использовать целую сеть промежуточных узлов. При усилительной атаке запросы ICMP или запросы UDP передаются в широковещательном режиме с целью, что многие узлы будут отвечать на запросы1). Из-за того, что запрос атакующего использует выдуманный адрес источника, все ответы посылаются по этому ложному адресу, что может вызвать отказ в обслуживании этого узла или сети узлов. Большая часть сред блокирует усилительные атаки путем конфигурирования маршрутизаторов так, чтобы не ретранслировать направленные широковещательные рассылки, но некоторые еще пропускают такие атаки.
34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
Пропускная способность сети является настолько высокой в большинстве организаций, что одиночная атакующая машина не может вызвать отказ в обслуживании сети. Однако атакующие могут выполнять атаки распределенного отказа в обслуживании (DDoS), при которых источником опасного трафика может быть большое число компьютеров. Если используется достаточно узлов, то общий объем сгенерированного трафика сети может истощить не только ресурсы намеченного узла, но также пропускную способность сети почти любой организации. Атаки DDoS, являющиеся причиной отсутствия доступности вычислительных и сетевых услуг, приводят к значительным финансовым потерям.
Атаки DDoS обычно используют два типа компонентов: агенты, которые работают на скомпрометированных узлах и выполняют действительные атаки; и обработчик, который является программой, управляющей агентами, и которая говорит им, когда атаковать, что атаковать и как атаковать. Атакующие часто используют сотни или тысячи агентов, когда выполняют атаку DDoS