Studiu de caz: activitățile managerului de securitate în cazul incidentelor informatice

manager securitate informatica

Pentru a gestiona corespunzător un incident de natură informatică managerul de securitate trebuie să elaboreze proceduri specifice fiecărei etape de producere a incidentului. Mai mult, pentru managerul de securitate există o sigură întrebare cu adevărat corectă:

Când se va întâmpla evenimentul care va conduce la producerea incidentului de securitate?

Așadar, esențial este factorul temporal și nu cel probabil: contează când urmează un posibil atac cibernetic și nu dacă este posibil ca acesta să se producă. Prin intermediul scenariilor de tratare a incidentelor se oferă o modalitate eficientă de dezvoltare a abilităților și a modului de reacționare la incidente. Accentul se pune pe identificarea posibilelor probleme ce apar pe parcursul acestui proces. Incidentele de securitate se derulează după următoarele etape:

Precursorii
Infecția
Detecția
Izolarea
Recuperarea
Lecții învățate (activități post incident)

În cadrul acestui articol ai o serie de întrebări generale, aplicabile în majoritatea incidentelor de securitate, precum și un studiu de caz augmentat cu întrebări specifice.

Managerul de securitate - întrebări generale

Faza de pregătire:

Există posibilitatea ca organizația să considere această activitate un incident? Dacă da, care dintre politicile organizației a fost încălcată de această activitate?
Care sunt măsurile de prevenire existente pentru acest tip de incident sau cum poate fi limitat impactul său?

Detectarea și analizarea:

Ce precursori ai incidentului, în cazul în care există, ar putea fi detectați de organizație? Ar putea vreun precursor determina organizația să ia măsuri înainte de producerea incidentului ?
Ce indicatori ai incidentului ar putea detecta organizația? Ce indicatori ar putea determina pe cineva sa creadă că s-a produs un incident?
Ce instrumente suplimentare ar putea fi utile pentru detectarea acestui tip de incident?
Cum ar analiza si valida echipa acest incident? Ce personal ar putea fi implicat în procesul de analiză și validare?
Căror persoane din cadrul organizației ar trebui echipa să le raporteze incidentul?
Cum va prioritiza echipa etapele ce vor avea loc pentru soluționarea incidentului?

Izolarea, distrugerea si recuperarea:

Ce strategie ar trebui să ia organizația pentru a prelua controlul asupra incidentului? De ce este această strategie utilă și pentru ceilalți?
Ce se poate întâmpla dacă incidentul nu este controlat?
Ce instrumente adiționale ar putea fi utile pentru a răspunde incidentului în cauză?
Ce personal ar putea fi implicat în procesele de izolare, distrugere și/sau recuperare?
În cazul în care ar exista, de ce tip de dovezi ar trebui să facă rost organizația? Cum ar putea fi obținute dovezile? Unde ar trebui stocate/depozitate? Ce perioadă de timp ar trebui păstrate?

Activitate Post-Incident:

Cine ar trebui să participe la întâlnirea ce privește lucrurile învățate în urma incidentului?
Ce s-ar putea face pentru prevenirea incidentelor similare în viitor?
Ce s-ar putea face pentru a îmbunătăți modul de detecție a incidentelor similare?

Întrebări generale:

Câți membri ai echipei ar trebui să participe/să se implice la rezolvarea acestui incident?
În afara echipei (echipa de intervenție în caz de incident), ce grupuri din cadrul organizației ar trebui implicate în soluționarea incidentului?
Cărei entități din exterior ar trebui raportat acest incident? Când ar trebui raportat? În ce mod ar trebui efectuată raportarea? Ce informații ar trebui sau n-ar trebui raportate și de ce?
Ce alte căi/relații de comunicare cu entități exterioare ar mai putea apărea?
Ce instrumente și resurse ar trebui echipa să folosească pentru tratarea acestui incident?
Ce aspecte ale procesului de tratare al incidentului ar fi fost diferite dacă incidentul ar fi avut loc în altă zi și la altă oră (în timpul programului de lucru vs. în afara programului de lucru)?
Ce aspecte ale procesului ar fi fost diferite dacă incidentul ar fi avut loc într-o altă locație fizică?

Manager de securitate, studiu de caz.

Worm and Distributed Denial of Service (DDoS) Agent Infestation

Ipoteză: Într-o dimineață de marți, un nou tip de ”vierme” este lansat în rețea; acesta se răspândește prin intermediul suporturilor de memorie portabile și se poate copia singur pe stațiile de lucru, având și posibilitatea de a deschide datele/folder-ele personale de pe un sistem de operare Windows sau de a porni anumite procese.

În momentul în care viermele infectează o stație (host), acesta instalează un agent DDoS (Distributed Denial of Service). O organizație a fost infectată cu câteva ore înainte ca semnăturile antivirus să devină disponibile, iar viermele a avut timp să se răspândească.

Întrebări specifice pentru acest scenariu:

Cum s-ar putea identifica toate host-urile infectate?

Cum ar fi putut organizația să împiedice intrarea viermelui înainte ca semnăturile antivirus să fi intrat in funcțiune?
Cum ar fi putut organizația să împiedice răspândirea viermelui la nivelul rețelei de către host-urile infectate înainte ca semnăturile antivirus să fi intrat in funcțiune?
Ar putea organizația să găsească o soluție de compromis pentru stațiile vulnerabile? Dacă da, cum ar putea fi făcută aceasta?
Ce s-ar întâmpla și ce s-ar putea face în cazul în care host-urile infectate cu agentul DDoS au fost configurate să atace site-ul unei alte organizații în dimineața următoare?
Cum s-ar schimba modalitatea de tratare a acestui incident în cazul în care unul sau mai multe host-uri infectate conțin informații sensibile despre angajații organizației?
Cum ar trebui echipa (echipa de intervenție în caz de incident) să-i țină informați pe utilizatorii rețelei din cadrul organizației despre starea incidentului?
Ce măsuri suplimentare ar putea fi luate pentru host-urile care nu sunt conectate la rețea la momentul respectiv (de exemplu, personal ce se află în vacanță, angajați externi ce se conectează ocazional, etc)?

Pentru o aprofundare a domeniului este recomandat a consulta ghidul National Institute of Standards and Technologies din SUA privind tratarea incidentelor de securitate: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf.

Comments are closed.

Cookie	Durată	Descriere
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_SVRJFP12ZM	2 years	This cookie is installed by Google Analytics.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durată	Descriere
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.

Cookie	Durată	Descriere
_dc_gtm_UA-183002891-1	1 minute	No description
cookies.js	session	No description available.

Cookie	Durată	Descriere
cky-active-check	1 day	CookieYes sets this cookie to check if the consent banner is active on the website.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
cookieyesID	session	CookieYes sets this cookie as a unique identifier for visitors according to their consent.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.