Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


07.08.2019

Kurzinformation it-sa, 8-10...

It-sa is one of the leading international trade fairs for IT security. With around 700...
08.07.2019

Narzędzie EDR

ESET Enterprise Inspector
08.07.2019

Usuwanie skutków awarii

Veeam Availability Orchestrator v2
08.07.2019

Indywidualna konfiguracja

baramundi Management Suite 2019
05.07.2019

Technologia Ceph

SUSE Enterprise Storage 6
05.07.2019

Szybkie i bezpieczne...

Konica Minolta bizhub i-Series
05.07.2019

Edge computing

Atos BullSequana Edge
04.07.2019

Terabitowa ochrona

Check Point 16000 i 26000
04.07.2019

Obsługa wideokonferencji

Poly G7500

Reagowanie na incydenty w systemach IT

Data publikacji: 06-07-2016 Autor: Ireneusz Tarnowski

Co zrobić, gdy zostaniemy zaatakowani? Nasza organizacja nie jest bezbronna. Sama świadomość potencjalnego zagrożenia to pierwszy krok do przygotowania obrony. Defensywne podejście do bezpieczeństwa naszej organizacji wymaga jednak przygotowania. Podpowiadamy, jak to zrobić właściwie.

Znając anatomię ataku komputerowego i mając możliwość monitorowania punktów krytycznych naszej infrastruktury, przygotowujemy obronę. Obroną jest już przeciwdziałanie incydentom, są nią również konkretne kroki, które będą podejmowane w przypadku wykrycia ataku lub przełamania naszych linii obrony. Do tych ostatnich należy nasza dobrze zaprojektowana infrastruktura techniczna, a także wszystkie urządzenia i programy ochronne, są nimi także wszystkie procedury techniczne i organizacyjne. Jednak jednym z najważniejszych czynników wpływających na jakość naszej obrony są ludzie. Wszystko to sprawia, że dobrze przygotowana strategia przeciwdziałania incydentom i zwalczanie tych, które już wystąpiły, jest kluczem do osiągnięcia sukcesu w obronie.

> Wykrywanie ataku

Incydent naruszenia bezpieczeństwa systemu komputerowego może zostać wykryty w każdej fazie łańcucha śmierci ataku komputerowego. Im później zostanie wykryty, tym jego skutki są poważniejsze. Inne powinny też być realizowane procedury. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą bowiem od momentu wykrycia i rozpoznania ataku.

W zależności od wektora ataku oraz stopnia jego skomplikowania może on zostać wykryty poprzez różnego rodzaju alerty, powiadomienia czy zachowania naszej infrastruktury. Typowymi źródłami wiedzy, pozwalającymi na wykrycie ataku są:

  • informacje z systemów IDPS,
  • informacje z systemów SIEM,
  • powiadomienia pochodzące od oprogramowania antywirusowego,
  • powiadomienia z systemów ochrony firewall,
  • informacje z systemów kontroli integralności plików,
  • informacje z systemów DLP (Data Leak Protection),
  • informacje od partnerów monitorujących sieć (np. dostawca usług internetowych, dostawca usług bezpieczeństwa informatycznego),
  • logi systemów operacyjnych, oprogramowania usługowego oraz aplikacji,
  • logi urządzeń sieciowych oraz dane nt. przepływności (flow) sieci,
  • publicznie dostępne bazy wiedzy, np. o nowych podatnościach, wektorach ataków,
  • osoby z wewnątrz organizacji (użytkownicy końcowi, administratorzy, oficerowie bezpieczeństwa, w zasadzie wszyscy, którzy zauważą anomalie w pracy systemu,
  • osoby z zewnętrznych organizacji.


Bazując na informacjach ze wszystkich dostępnych źródeł, osoba analizująca dane podejmuje decyzję o zaistnieniu incydentu i uruchamia procedurę jego obsługi.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"