- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 2 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Процесс реагирования на компьютерные инциденты
В предыдущей главе вы познакомились с тремя столпами,которые поддержи- вают ваш уровень безопасности, а два из них (обнаружение и реагирование) напрямую связаны с процессом реагирования на компьютерные инциденты. Чтобы укрепить основы своей безопасности,вам необходимо иметь четко вы- строенный процесс реагирования на инциденты. Этот процесс будет опреде- лять, как обрабатывать инциденты в области безопасности и быстро реагиро- вать на них.У многих компаний есть процесс реагирования на инциденты, но они не в состоянии постоянно пересматривать его, чтобы учесть уроки, из- влеченные в ходе предыдущих инцидентов, и, кроме того, многие не готовы обрабатывать инциденты в облачной среде.
В этой главе мы рассмотрим следующие темы:
процесс реагирования на компьютерные инциденты;обработка инцидентов;деятельность после инцидента.
Процесс реагирования на компьютерные инциденты
Существует множество отраслевых стандартов, рекомендаций и передовых методик, которые могут помочь вам создать собственный ответ на инцидент. Вы по-прежнему можете использовать их в качестве справочных материалов, чтобы убедиться, что охватили все соответствующие этапы для своего типа бизнеса. В качестве справочного материала в этой книге мы будем использо-
вать реагирование на инцидент в области компьютерной безопасности
(CSIR) – публикация 800-61R2 из Национального института стандартов и тех- нологий (1).
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Процесс реагирования на компьютерные инциденты 35to |
BUY |
|
|
|||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
|||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
df |
|
|
|
|
e |
|
||||
|
|
|
|
|
Причины иметь в своем распоряжении процесс реагирования |
|
|
|
|
n |
|
|
|
|
||||||||||
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
на компьютерные инциденты
Прежде чем углубиться в детали самого процесса, важно изучить терминоло- гию, а также определить конечную цель при использовании реагирования на компьютерный инцидент как части улучшения стратегии безопасности. По- чему это важно? Используем вымышленную компанию, чтобы дать ответ на этот вопрос.
На приведенном ниже рис. 2.1 показана временная шкала событий (2), ко- торая заставляет службу технической поддержки информировать о проблеме и запускать процесс реагирования.
|
4 |
6 |
2 |
Пользователь,пытающийся |
Поскольку нет признаков |
|
пройти проверку подлинности |
|
Пользователь открывает |
со своего мобильного устройства, |
компрометации,создается инцидент |
подозрительное письмо |
сообщает,что не может сделать это |
в области безопасности |
Система работала |
Датчики ничего |
Служба технической поддержки |
Реагирование |
правильно |
не обнаруживают |
приступает к устранению проблемы |
на инцидент продолжается |
1 |
3 |
5 |
7 |
Рис.2.1
В следующейтаблице приведены некоторые соображения,касающиеся каж- дого шага в этом сценарии:
Шаг |
Описание |
Соображения по поводу безопасности |
1 |
Хотя на диаграмме сказано,что |
Что считается нормальным? У вас есть исходные данные, |
|
система работает правильно,важно |
которые могут дать вам доказательства того,что система |
|
извлечь уроки из этого события |
работает правильно? Вы уверены,что нет никаких |
|
|
доказательств компрометации до того,как письмо было |
|
|
открыто? |
2 |
Фишинговые письма по-прежнему |
В то время как в наличии должны быть технические |
|
являются одним из наиболее |
средства безопасности для обнаружения и фильтрования |
|
распространенных методов, |
данного типа атак,пользователей нужно научить |
|
используемых киберпреступниками, |
идентифицировать фишинговые письма |
|
чтобы побудить пользователей |
|
|
щелкнуть по ссылке,которая ведет |
|
|
на вредоносный/скомпрометиро |
|
|
ванный сайт |
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
36 |
|
||||
w Click |
|
m |
||||||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
|
|
Шаг |
Процесс реагирования на компьютерные инциденты
Описание |
Соображения по поводу безопасности |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
3 |
Многие из традиционных датчиков |
Чтобы повысить уровень безопасности,вам необходимо |
|
|
(IDS/IPS),используемых в настоящее |
улучшить технические средства контроля безопасности |
|
|
время,не способны идентифициро- |
и сократить разрыв между заражением и обнаружением |
|
|
вать инфильтрацию и дальнейшее |
|
|
|
распространение по сети |
|
|
4 |
Это уже часть побочного ущерба, |
Должны существовать технические средства контроля |
|
|
нанесенного этой атакой.Учетные |
безопасности,позволяющие ИТ-специалистам сбрасы- |
|
|
данные были скомпрометированы, |
вать пароль пользователя и в то же время обеспечивать |
|
|
и у пользователя возникли проблемы |
многофакторную аутентификацию |
|
|
с аутентификацией |
|
|
5 |
Не каждый инцидент связан |
Если бы технические средства контроля безопасности |
|
|
с безопасностью |
; поэтому важно, |
(шаг 3) смогли идентифицировать атаку или,по крайней |
|
чтобы служба технической поддержки |
мере,предоставить какое-либо свидетельство |
|
|
выполнила начальную диагностику |
подозрительной активности,службе технической |
|
|
с целью изолировать проблему |
поддержки не пришлось бы устранять проблему– |
|
|
|
|
она могла просто следовать за процессом реагирования |
6На данный момент служба технической Служба технической поддержки должна получить поддержки делает то,что должна, как можно больше информации о подозрительной
|
собирает доказательства того,что |
деятельности,чтобы обосновать причину,по которой они |
|
система была скомпрометирована, |
считают,что это инцидент,связанный с безопасностью |
|
и сообщает о проблеме |
|
7 |
На этом этапе вступает в дело процесс |
Важно документировать каждый отдельный этап |
|
реагирования на компьютерные |
процесса и после разрешения инцидента учитывать |
|
инциденты.Он следует своим |
извлеченные уроки с целью повышения общего уровня |
|
собственным путем,который может |
безопасности |
|
варьироваться в зависимости от |
|
|
компании,отраслевого сегмента |
|
|
и стандарта |
|
Хотя в предыдущем сценарии есть много возможностей для улучшения, в этой вымышленной компании есть кое-что, чего не хватает многим другим компаниям во всем мире, – само реагирование на компьютерный инцидент. Если бы не процесс реагирования,специалисты службытехнической поддерж- ки исчерпали бы свои усилия по устранению неполадок, сосредоточившись на проблемах инфраструктуры. Компании, у которых есть хорошая стратегия безопасности , имеют в своем распоряжении процесс реагирования на инци- денты.
Они также обеспечат соблюдение следующих рекомендаций:
весь IT-персонал должен быть обучен,чтобы знать,как справиться с ин- цидентом в области безопасности;
все пользователи должны быть обучены основам безопасности, чтобы выполнять свою работу качественно и избежать заражения;
должна быть интеграция между системой технической поддержки и ко- мандой реагирования на инциденты, чтобы обмениваться данными;
этотсценарий можетиметьнекоторые вариации,которые могутсоздать различные проблемы, требующие преодоления. Один из вариантов за- ключается в том, что на шаге 6 не будет обнаружено никаких признаков компрометации.В этом случае служба технической поддержки без
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
Процесс реагирования на компьютерные инциденты 37to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
труда продолжит устранение проблемы.Что,если в какой-то момент все |
|
|
|
|
|
|
||||
|
|
|
|
-x cha |
|
|
|
|
снова заработает нормально? Это вообще возможно? Да, возможно; когда злоумышленник проникает в сеть,обычно он хочет оставаться не- видимым, распространяя свое влияние дальше с одного хоста на дру- гой,подвергая риску множество систем и пытаясьповыситьпривилегии путем компрометации учетной записи с привилегиями уровня адми нистратора. Вот почему так важно иметь хорошие датчики не только
всети, но и в самом хосте. При наличии хороших датчиков вы сможе- те не только быстро обнаружить атаку, но и определить потенциальные сценарии, которые могут привести к неизбежной угрозе нарушения (3);
вдополнение ко всем только что упомянутым факторам следует отме- тить,что некоторые компании скоро поймут,что им необходим процесс реагирования на компьютерные инциденты, чтобы соответствовать правилам, применимым к отрасли, к которой они относятся. Например, FISMA требует, чтобы федеральные агентства имели процедуры для об- наружения,сообщенияиреагированиянаинцидентывобластибезопас- ности.
Создание процесса реагирования на компьютерные инциденты
Хотя процесс реагирования на компьютерные инциденты зависит от компа- нии и ее потребностей,существуют некоторые фундаментальные аспекты,ко- торые будут одинаковыми в разных отраслях.
На приведенном ниже рис. 2.2 показаны основные области процесса реа гирования на компьютерные инциденты.
|
ПРОЦЕСС РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ |
|
|||
|
ИНДИВИДУАЛИЗИРОВАННЫЕОБЛАСТИ |
|
|||
|
ОСНОВОПОЛАГАЮЩИЕОБЛАСТИ |
|
|||
|
Область |
Определение/ |
Роли |
Приоритеты/ |
|
Цель |
Уровень |
||||
применения |
Терминология |
и обязанности |
|||
|
серьезности |
||||
|
|
|
|
Рис.2.2
Первый шаг для создания процесса реагирования на компьютерный инци- дент–это определение цели.Другими словами,нужно ответить на вопрос: ка- кова цель этого процесса? Хотя это может показаться лишним, т. к. название, кажется,говоритсамозасебя,важнооченьчеткопониматьцельпроцесса,что- бы все знали о том, чего мы пытаемся добиться с его помощью.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
38 Процесс реагирования на компьютерные инциденты |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Как только вы определили цель, вам нужно поработать над областью при- |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
менения. И опять вы начинаете с ответа на вопрос, который в данном случае |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
звучиттак: к кому относится этот процесс? |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
Хотяпроцессреагированиянакомпьютерныеинцидентыобычноохватыва- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
ет всю компанию, в некоторых сценариях он может также охватывать отделы. |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
По этой причине важно,чтобы вы определили,это процесс для всей компании |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
или нет. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
Каждая компания может по-разному воспринимать инцидент в области |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
безопасности |
,поэтому крайне важно определить,что представляет собой этот |
|
|
|
|
|
|
|
инцидент, и привести примеры.
Наряду сэтим компаниидолжны создатьсвой собственный глоссарий сопре делениями используемой терминологии. Различные отрасли будут иметь раз- ную терминологию. Если эти наборы терминов относятся к инциденту в обла- сти безопасности, они должны быть задокументированы.
В процессе реагирования на компьютерные инциденты роли и обязанности имеют решающее значение. Без надлежащего уровня полномочий весь про- цесс находится в опасности.
Важность уровня полномочий при реагировании на инциденты становится очевидной,если рассмотреть вопрос: у кого есть полномочия конфисковывать компьютердляпроведениядальнейшегорасследования?Определяяпользова- телей или группы стаким уровнем полномочий,вы гарантируете,что вся ком- пания знает об этом, и если произойдет инцидент, группе, которая применяет эту политику, не будут задавать вопросы.
Когда инцидентпризнается критическим? Как вы будете распределятьсвою рабочую силу, когда произойдет инцидент? Следует ли выделить больше ре- сурсов для инцидента «А» по сравнению с инцидентом «В»? Почему? Этотоль- ко некоторые примеры вопросов, на которые нужно ответить, чтобы опреде- лить приоритеты и уровень опасности угрозы.
Чтобы определить этот уровень, вам также необходимо принять во внима- ние следующие аспекты бизнеса:
функциональное влияние инцидента на бизнес. Важность затро-
нутой системы для бизнеса будет иметь прямое влияние на приоритет инцидента.Все заинтересованные стороны затронутой системыдолжны быть осведомлены об этой проблеме, чтобы вносить свой вклад в опре- деление приоритетов;
тип информации, затронутой инцидентом. Каждый раз, когда вы имеете дело с персональными данными, ваш инцидент будет иметь вы- сокий приоритет. Следовательно, это один из первых элементов, кото- рые необходимо проверить во время инцидента;
восстанавливаемость. После первоначальной оценки можно понять, сколько времени потребуется для восстановления после инцидента. В зависимости от времени восстановления в сочетании с критичностью системы возможно повысить приоритетность инцидента до высокой степени серьезности.