Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX
18.04.2019

Technologie wideo

Avaya IX Collaboration Unit
18.04.2019

Krótki rzut

Optoma W318STe i X318STe
18.04.2019

Do mobilnej pracy

Jabra Evolve 65e
27.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...

Reagowanie na incydenty w systemach IT

Data publikacji: 06-07-2016 Autor: Ireneusz Tarnowski

Co zrobić, gdy zostaniemy zaatakowani? Nasza organizacja nie jest bezbronna. Sama świadomość potencjalnego zagrożenia to pierwszy krok do przygotowania obrony. Defensywne podejście do bezpieczeństwa naszej organizacji wymaga jednak przygotowania. Podpowiadamy, jak to zrobić właściwie.

Znając anatomię ataku komputerowego i mając możliwość monitorowania punktów krytycznych naszej infrastruktury, przygotowujemy obronę. Obroną jest już przeciwdziałanie incydentom, są nią również konkretne kroki, które będą podejmowane w przypadku wykrycia ataku lub przełamania naszych linii obrony. Do tych ostatnich należy nasza dobrze zaprojektowana infrastruktura techniczna, a także wszystkie urządzenia i programy ochronne, są nimi także wszystkie procedury techniczne i organizacyjne. Jednak jednym z najważniejszych czynników wpływających na jakość naszej obrony są ludzie. Wszystko to sprawia, że dobrze przygotowana strategia przeciwdziałania incydentom i zwalczanie tych, które już wystąpiły, jest kluczem do osiągnięcia sukcesu w obronie.

> Wykrywanie ataku

Incydent naruszenia bezpieczeństwa systemu komputerowego może zostać wykryty w każdej fazie łańcucha śmierci ataku komputerowego. Im później zostanie wykryty, tym jego skutki są poważniejsze. Inne powinny też być realizowane procedury. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą bowiem od momentu wykrycia i rozpoznania ataku.

W zależności od wektora ataku oraz stopnia jego skomplikowania może on zostać wykryty poprzez różnego rodzaju alerty, powiadomienia czy zachowania naszej infrastruktury. Typowymi źródłami wiedzy, pozwalającymi na wykrycie ataku są:

  • informacje z systemów IDPS,
  • informacje z systemów SIEM,
  • powiadomienia pochodzące od oprogramowania antywirusowego,
  • powiadomienia z systemów ochrony firewall,
  • informacje z systemów kontroli integralności plików,
  • informacje z systemów DLP (Data Leak Protection),
  • informacje od partnerów monitorujących sieć (np. dostawca usług internetowych, dostawca usług bezpieczeństwa informatycznego),
  • logi systemów operacyjnych, oprogramowania usługowego oraz aplikacji,
  • logi urządzeń sieciowych oraz dane nt. przepływności (flow) sieci,
  • publicznie dostępne bazy wiedzy, np. o nowych podatnościach, wektorach ataków,
  • osoby z wewnątrz organizacji (użytkownicy końcowi, administratorzy, oficerowie bezpieczeństwa, w zasadzie wszyscy, którzy zauważą anomalie w pracy systemu,
  • osoby z zewnętrznych organizacji.


Bazując na informacjach ze wszystkich dostępnych źródeł, osoba analizująca dane podejmuje decyzję o zaistnieniu incydentu i uruchamia procedurę jego obsługi.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"