Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



31.08.2020

Konferencja PIKE 2020 „Nowy...

Polska Izba Komunikacji Elektronicznej wraz z Polską Fundacją Wspierania Rozwoju...
31.08.2020

Sprawna migracja

Oracle Cloud VMware Solution
31.08.2020

Aktywne cybergangi

Grupa Lazarus
31.08.2020

Coraz groźniej

Ransomware
31.08.2020

Analityka w chmurze

SAS Viya 4
31.08.2020

Fujitsu

Fujitsu zaprezentowało odświeżone portfolio biurowych komputerów stacjonarnych Esprimo...
31.08.2020

Monitory dla biura

EIZO FlexScan
27.08.2020

ABBYY FineReader Server –...

Obecna sytuacja na świecie spowodowała, że musieliśmy się odnaleźć w nowych realiach...
27.08.2020

E-commerce ratuje gospodarkę

W tym roku rodzimy handel elektroniczny odnotowuje najwyższy – od kilkunastu lat –...

Reagowanie na incydenty w systemach IT

Data publikacji: 06-07-2016 Autor: Ireneusz Tarnowski

Co zrobić, gdy zostaniemy zaatakowani? Nasza organizacja nie jest bezbronna. Sama świadomość potencjalnego zagrożenia to pierwszy krok do przygotowania obrony. Defensywne podejście do bezpieczeństwa naszej organizacji wymaga jednak przygotowania. Podpowiadamy, jak to zrobić właściwie.

Znając anatomię ataku komputerowego i mając możliwość monitorowania punktów krytycznych naszej infrastruktury, przygotowujemy obronę. Obroną jest już przeciwdziałanie incydentom, są nią również konkretne kroki, które będą podejmowane w przypadku wykrycia ataku lub przełamania naszych linii obrony. Do tych ostatnich należy nasza dobrze zaprojektowana infrastruktura techniczna, a także wszystkie urządzenia i programy ochronne, są nimi także wszystkie procedury techniczne i organizacyjne. Jednak jednym z najważniejszych czynników wpływających na jakość naszej obrony są ludzie. Wszystko to sprawia, że dobrze przygotowana strategia przeciwdziałania incydentom i zwalczanie tych, które już wystąpiły, jest kluczem do osiągnięcia sukcesu w obronie.

> Wykrywanie ataku

Incydent naruszenia bezpieczeństwa systemu komputerowego może zostać wykryty w każdej fazie łańcucha śmierci ataku komputerowego. Im później zostanie wykryty, tym jego skutki są poważniejsze. Inne powinny też być realizowane procedury. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą bowiem od momentu wykrycia i rozpoznania ataku.

W zależności od wektora ataku oraz stopnia jego skomplikowania może on zostać wykryty poprzez różnego rodzaju alerty, powiadomienia czy zachowania naszej infrastruktury. Typowymi źródłami wiedzy, pozwalającymi na wykrycie ataku są:

  • informacje z systemów IDPS,
  • informacje z systemów SIEM,
  • powiadomienia pochodzące od oprogramowania antywirusowego,
  • powiadomienia z systemów ochrony firewall,
  • informacje z systemów kontroli integralności plików,
  • informacje z systemów DLP (Data Leak Protection),
  • informacje od partnerów monitorujących sieć (np. dostawca usług internetowych, dostawca usług bezpieczeństwa informatycznego),
  • logi systemów operacyjnych, oprogramowania usługowego oraz aplikacji,
  • logi urządzeń sieciowych oraz dane nt. przepływności (flow) sieci,
  • publicznie dostępne bazy wiedzy, np. o nowych podatnościach, wektorach ataków,
  • osoby z wewnątrz organizacji (użytkownicy końcowi, administratorzy, oficerowie bezpieczeństwa, w zasadzie wszyscy, którzy zauważą anomalie w pracy systemu,
  • osoby z zewnętrznych organizacji.


Bazując na informacjach ze wszystkich dostępnych źródeł, osoba analizująca dane podejmuje decyzję o zaistnieniu incydentu i uruchamia procedurę jego obsługi.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"