- Când se va întâmpla evenimentul care va conduce la producerea incidentului de securitate?
- Precursorii
- Infecția
- Detecția
- Izolarea
- Recuperarea
- Lecții învățate (activități post incident)
Managerul de securitate - întrebări generale
Faza de pregătire:
- Există posibilitatea ca organizația să considere această activitate un incident? Dacă da, care dintre politicile organizației a fost încălcată de această activitate?
- Care sunt măsurile de prevenire existente pentru acest tip de incident sau cum poate fi limitat impactul său?
Detectarea și analizarea:
- Ce precursori ai incidentului, în cazul în care există, ar putea fi detectați de organizație? Ar putea vreun precursor determina organizația să ia măsuri înainte de producerea incidentului ?
- Ce indicatori ai incidentului ar putea detecta organizația? Ce indicatori ar putea determina pe cineva sa creadă că s-a produs un incident?
- Ce instrumente suplimentare ar putea fi utile pentru detectarea acestui tip de incident?
- Cum ar analiza si valida echipa acest incident? Ce personal ar putea fi implicat în procesul de analiză și validare?
- Căror persoane din cadrul organizației ar trebui echipa să le raporteze incidentul?
- Cum va prioritiza echipa etapele ce vor avea loc pentru soluționarea incidentului?
Izolarea, distrugerea si recuperarea:
- Ce strategie ar trebui să ia organizația pentru a prelua controlul asupra incidentului? De ce este această strategie utilă și pentru ceilalți?
- Ce se poate întâmpla dacă incidentul nu este controlat?
- Ce instrumente adiționale ar putea fi utile pentru a răspunde incidentului în cauză?
- Ce personal ar putea fi implicat în procesele de izolare, distrugere și/sau recuperare?
- În cazul în care ar exista, de ce tip de dovezi ar trebui să facă rost organizația? Cum ar putea fi obținute dovezile? Unde ar trebui stocate/depozitate? Ce perioadă de timp ar trebui păstrate?
Activitate Post-Incident:
- Cine ar trebui să participe la întâlnirea ce privește lucrurile învățate în urma incidentului?
- Ce s-ar putea face pentru prevenirea incidentelor similare în viitor?
- Ce s-ar putea face pentru a îmbunătăți modul de detecție a incidentelor similare?
Întrebări generale:
- Câți membri ai echipei ar trebui să participe/să se implice la rezolvarea acestui incident?
- În afara echipei (echipa de intervenție în caz de incident), ce grupuri din cadrul organizației ar trebui implicate în soluționarea incidentului?
- Cărei entități din exterior ar trebui raportat acest incident? Când ar trebui raportat? În ce mod ar trebui efectuată raportarea? Ce informații ar trebui sau n-ar trebui raportate și de ce?
- Ce alte căi/relații de comunicare cu entități exterioare ar mai putea apărea?
- Ce instrumente și resurse ar trebui echipa să folosească pentru tratarea acestui incident?
- Ce aspecte ale procesului de tratare al incidentului ar fi fost diferite dacă incidentul ar fi avut loc în altă zi și la altă oră (în timpul programului de lucru vs. în afara programului de lucru)?
- Ce aspecte ale procesului ar fi fost diferite dacă incidentul ar fi avut loc într-o altă locație fizică?
Manager de securitate, studiu de caz.
Worm and Distributed Denial of Service (DDoS) Agent Infestation
Ipoteză: Într-o dimineață de marți, un nou tip de ”vierme” este lansat în rețea; acesta se răspândește prin intermediul suporturilor de memorie portabile și se poate copia singur pe stațiile de lucru, având și posibilitatea de a deschide datele/folder-ele personale de pe un sistem de operare Windows sau de a porni anumite procese.
În momentul în care viermele infectează o stație (host), acesta instalează un agent DDoS (Distributed Denial of Service). O organizație a fost infectată cu câteva ore înainte ca semnăturile antivirus să devină disponibile, iar viermele a avut timp să se răspândească.
Întrebări specifice pentru acest scenariu:
Cum s-ar putea identifica toate host-urile infectate?
- Cum ar fi putut organizația să împiedice intrarea viermelui înainte ca semnăturile antivirus să fi intrat in funcțiune?
- Cum ar fi putut organizația să împiedice răspândirea viermelui la nivelul rețelei de către host-urile infectate înainte ca semnăturile antivirus să fi intrat in funcțiune?
- Ar putea organizația să găsească o soluție de compromis pentru stațiile vulnerabile? Dacă da, cum ar putea fi făcută aceasta?
- Ce s-ar întâmpla și ce s-ar putea face în cazul în care host-urile infectate cu agentul DDoS au fost configurate să atace site-ul unei alte organizații în dimineața următoare?
- Cum s-ar schimba modalitatea de tratare a acestui incident în cazul în care unul sau mai multe host-uri infectate conțin informații sensibile despre angajații organizației?
- Cum ar trebui echipa (echipa de intervenție în caz de incident) să-i țină informați pe utilizatorii rețelei din cadrul organizației despre starea incidentului?
- Ce măsuri suplimentare ar putea fi luate pentru host-urile care nu sunt conectate la rețea la momentul respectiv (de exemplu, personal ce se află în vacanță, angajați externi ce se conectează ocazional, etc)?
Pentru o aprofundare a domeniului este recomandat a consulta ghidul National Institute of Standards and Technologies din SUA privind tratarea incidentelor de securitate: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf.