- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
38.Злоумышленные действия.
-Отказ в обслуживании конкретного узла. возможные указатели: а)Сообщения пользователя о недоступности системы. Б)Необъяснимые потери соединения. В)Предупреждения об обнаружении вторжения в сеть. Г)Предупреждения об обнаружении вторжения на узел.Д)Возросшее использование сетевой пропускной способности. Е)Огромное число соединений к одному узлу. Ж)Асимметричная картина сетевого трафика. З)Записи журнала сетевого экрана и маршрутизатора.
И)Пакеты с необычными адресами источников.
- Отказ в обслуживании сети. возможные указатели пункты перечисленные выше:А,Б,В.Д.Ж.З.И + Пакеты с несуществующими адресами назначения.
- Отказ в обслуживании операционной системы узла. Возможные указатели: а)Сообщения пользователя о недоступности системы и приложения. Б)Предупреждения об обнаружении вторжения в сеть или узел. В)Записи журнала операционной системы. Г)Пакеты с необычными адресами источника.
- Отказ в обслуживании приложения на узле. Указатели: а)Сообщения пользователя о недоступности приложения. Б)Предупреждения об обнаружении вторжения в сеть или узел. В)Записи журнала приложения. Г)Пакеты с необычными адресами источника.
проблемы при анализе инцидентов:
--атаки DoS часто используют протоколы, неориентированные на соединение (UDP и ICMP). Таким образом, для атакующих относительно легко использовать выдуманные адреса IP источника, создавая трудность в отслеживании источника атак;
--атаки DDoS часто используют сотни или тысячи рабочих станций, которые управляются одним (или, вообще, никаким) обработчиком. Жертва не будет видеть IP обработчика и, даже если бы это было возможно, то это был бы, вероятно, узел, который скомпрометировал атакующий;
--сетевые атаки DoS трудно обнаружить с высокой точностью системами обнаружения вторжений (СОВ). Иногда многие законные соединения, которые выполняются за короткое время, будут вызывать запуск оповещений о затоплении SYNами;
--когда происходит выход из строя ресурсов, часто можно не понять, что это вызвано атакой DoS. Например, сервер может случайно выйти из строя, как результат нестабильности операционной системы, требующей повторной загрузки для восстановления ее функционирования.
Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
Сдерживание, устранение инцидента отказа в обслуживании обычно состоит в противодействии опасному трафику. Часто это противодействие состоит в блокировании всего трафика от источника активности.
Действия по сдерживанию, устранению инцидента отказа в обслуживании, а также восстановлению после инцидента отказа в обслуживании таковы:
уменьшение уязвимостей, которые используются. Если операционная система узла не устойчива к атакам DoS, то она должна быть скорректирована. Этот узел, возможно, надо будет отсоединить от сети, чтобы остановить атаку DoS, пока корректируется операционная система узла;
реализация фильтрации на основе характеристик атаки. Например, если атака использует запросы эхо ICMP, то можно оповестить безопасность периметра временно блокировать такие запросы от входа в сеть. Другая стратегия состоит в ограничении скорости – позволяя только определенное число пакетов в секунду для использования специфичного протокола или контакта с определенным узлом. Например, добавление новых правил к маршрутизатору или сетевому экрану может иметь существенное негативное воздействие на работу (характеристики) устройства, вызывающее снижение пропускной способности сети;
маскировка цели. Если целью является конкретный узел и другие стратегии сдерживания не работают, то узлу может быть присвоен другой адрес IP. Если целью является конкретная услуга узла, то услуга может быть передана другому узлу – узлу без соответствующей уязвимости;
атака атакующих. Например, администраторы могут использовать программы, которые позволяют дистанционно блокировать атакующих агентов DDoS, или они (программы) могут модифицировать конфигурацию сети или сервера, чтобы перенаправить опасный трафик назад к источнику атаки. Такие приемы hack back (хакерство назад) должны использоваться очень осторожно.
Сбор и обработка данных (доказательств) об инциденте отказа в обслуживании часто является проблемным и затратным по времени из-за следующих причин:
сложность идентификации источника атак из наблюдаемого трафика. Адреса источника IP часто модифицированы. Атаки DDoS могут использовать сотни и тысячи узлов, каждый из которых может использовать множество ложных адресов;
сложность изучения того, как были скомпрометированы атакующие узлы. При атаках DDoS узлы агентов могут быть скомпрометированы. Атакующий может даже не быть ответственным за компрометацию; атакующий просто использует узлы, которые ранее были скомпрометированы другими;
сложность просмотра большого числа записей журнала. Большинство атак DoS генерируют большой трафик и при мониторинге систем в журналах фиксируется большое число записей. Для обзора записей и выделение полезной информации требуется много времени.