Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200
21.02.2019

Transformacja centrów danych

Fujitsu PRIMEFLEX for VMware vSAN

Reagowanie na incydenty w systemach IT

Data publikacji: 06-07-2016 Autor: Ireneusz Tarnowski

Co zrobić, gdy zostaniemy zaatakowani? Nasza organizacja nie jest bezbronna. Sama świadomość potencjalnego zagrożenia to pierwszy krok do przygotowania obrony. Defensywne podejście do bezpieczeństwa naszej organizacji wymaga jednak przygotowania. Podpowiadamy, jak to zrobić właściwie.

Znając anatomię ataku komputerowego i mając możliwość monitorowania punktów krytycznych naszej infrastruktury, przygotowujemy obronę. Obroną jest już przeciwdziałanie incydentom, są nią również konkretne kroki, które będą podejmowane w przypadku wykrycia ataku lub przełamania naszych linii obrony. Do tych ostatnich należy nasza dobrze zaprojektowana infrastruktura techniczna, a także wszystkie urządzenia i programy ochronne, są nimi także wszystkie procedury techniczne i organizacyjne. Jednak jednym z najważniejszych czynników wpływających na jakość naszej obrony są ludzie. Wszystko to sprawia, że dobrze przygotowana strategia przeciwdziałania incydentom i zwalczanie tych, które już wystąpiły, jest kluczem do osiągnięcia sukcesu w obronie.

> Wykrywanie ataku

Incydent naruszenia bezpieczeństwa systemu komputerowego może zostać wykryty w każdej fazie łańcucha śmierci ataku komputerowego. Im później zostanie wykryty, tym jego skutki są poważniejsze. Inne powinny też być realizowane procedury. Kroki podejmowane przez zespoły ds. reagowania na incydenty zależą bowiem od momentu wykrycia i rozpoznania ataku.

W zależności od wektora ataku oraz stopnia jego skomplikowania może on zostać wykryty poprzez różnego rodzaju alerty, powiadomienia czy zachowania naszej infrastruktury. Typowymi źródłami wiedzy, pozwalającymi na wykrycie ataku są:

  • informacje z systemów IDPS,
  • informacje z systemów SIEM,
  • powiadomienia pochodzące od oprogramowania antywirusowego,
  • powiadomienia z systemów ochrony firewall,
  • informacje z systemów kontroli integralności plików,
  • informacje z systemów DLP (Data Leak Protection),
  • informacje od partnerów monitorujących sieć (np. dostawca usług internetowych, dostawca usług bezpieczeństwa informatycznego),
  • logi systemów operacyjnych, oprogramowania usługowego oraz aplikacji,
  • logi urządzeń sieciowych oraz dane nt. przepływności (flow) sieci,
  • publicznie dostępne bazy wiedzy, np. o nowych podatnościach, wektorach ataków,
  • osoby z wewnątrz organizacji (użytkownicy końcowi, administratorzy, oficerowie bezpieczeństwa, w zasadzie wszyscy, którzy zauważą anomalie w pracy systemu,
  • osoby z zewnętrznych organizacji.


Bazując na informacjach ze wszystkich dostępnych źródeł, osoba analizująca dane podejmuje decyzję o zaistnieniu incydentu i uruchamia procedurę jego obsługi.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"