fbpx

Studiu de caz: activitățile managerului de securitate în cazul incidentelor informatice

Pentru a gestiona corespunzător un incident de natură informatică managerul de securitate trebuie să elaboreze proceduri specifice fiecărei etape de producere a incidentului. Mai mult, pentru managerul de securitate există o sigură întrebare cu adevărat corectă:
  • Când se va întâmpla evenimentul care va conduce la producerea incidentului de securitate?
Așadar, esențial este factorul temporal și nu cel probabil: contează când urmează un posibil atac cibernetic și nu dacă este posibil ca acesta să se producă. Prin intermediul scenariilor de tratare a incidentelor se oferă o modalitate eficientă de dezvoltare a abilităților și a modului de reacționare la incidente. Accentul se pune pe identificarea posibilelor probleme ce apar pe parcursul acestui proces. Incidentele de securitate se derulează după următoarele etape:
  • Precursorii
  • Infecția
  • Detecția
  • Izolarea
  • Recuperarea
  • Lecții învățate (activități post incident)
În cadrul acestui articol ai o serie de întrebări generale, aplicabile în majoritatea incidentelor de securitate, precum și un studiu de caz augmentat cu întrebări specifice.

Managerul de securitate - întrebări generale

Faza de pregătire:

  1. Există posibilitatea ca organizația să considere această activitate un incident? Dacă da, care dintre politicile organizației a fost încălcată de această activitate?
  2. Care sunt măsurile de prevenire existente pentru acest tip de incident sau cum poate fi limitat impactul său?

Detectarea și analizarea:

 

  1. Ce precursori ai incidentului, în cazul în care există, ar putea fi detectați de organizație? Ar putea vreun precursor determina organizația să ia măsuri înainte de producerea incidentului ?
  2. Ce indicatori ai incidentului ar putea detecta organizația? Ce indicatori ar putea determina pe cineva sa creadă că s-a produs un incident?
  3. Ce instrumente suplimentare ar putea fi utile pentru detectarea acestui tip de incident?
  4. Cum ar analiza si valida echipa acest incident? Ce personal ar putea fi implicat în procesul de analiză și validare?
  5. Căror persoane din cadrul organizației ar trebui echipa să le raporteze incidentul?
  6. Cum va prioritiza echipa etapele ce vor avea loc pentru soluționarea incidentului?

Izolarea, distrugerea si recuperarea:

  1. Ce strategie ar trebui să ia organizația pentru a prelua controlul asupra incidentului? De ce este această strategie utilă și pentru ceilalți?
  2. Ce se poate întâmpla dacă incidentul nu este controlat?
  3. Ce instrumente adiționale ar putea fi utile pentru a răspunde incidentului în cauză?
  4. Ce personal ar putea fi implicat în procesele de izolare, distrugere și/sau recuperare?
  5. În cazul în care ar exista, de ce tip de dovezi ar trebui să facă rost organizația? Cum ar putea fi obținute dovezile? Unde ar trebui stocate/depozitate? Ce perioadă de timp ar trebui păstrate?

Activitate Post-Incident:

  1. Cine ar trebui să participe la întâlnirea ce privește lucrurile învățate în urma incidentului?
  2. Ce s-ar putea face pentru prevenirea incidentelor similare în viitor?
  3. Ce s-ar putea face pentru a îmbunătăți modul de detecție a incidentelor similare?

Întrebări generale:

  1. Câți membri ai echipei ar trebui să participe/să se implice la rezolvarea acestui incident?
  2. În afara echipei (echipa de intervenție în caz de incident), ce grupuri din cadrul organizației ar trebui implicate în soluționarea incidentului?
  3. Cărei entități din exterior ar trebui raportat acest incident? Când ar trebui raportat? În ce mod ar trebui efectuată raportarea? Ce informații ar trebui sau n-ar trebui raportate și de ce?
  4. Ce alte căi/relații de comunicare cu entități exterioare ar mai putea apărea?
  5. Ce instrumente și resurse ar trebui echipa să folosească pentru tratarea acestui incident?
  6. Ce aspecte ale procesului de tratare al incidentului ar fi fost diferite dacă incidentul ar fi avut loc în altă zi și la altă oră (în timpul programului de lucru vs. în afara programului de lucru)?
  7. Ce aspecte ale procesului ar fi fost diferite dacă incidentul ar fi avut loc într-o altă locație fizică?

Manager de securitate, studiu de caz.

Worm and Distributed Denial of Service (DDoS) Agent Infestation

 

Ipoteză: Într-o dimineață de marți, un nou tip de ”vierme” este lansat în rețea; acesta se răspândește prin intermediul suporturilor de memorie portabile și se poate copia singur pe stațiile de lucru, având și posibilitatea de a deschide datele/folder-ele personale de pe un sistem  de operare Windows sau de a porni anumite procese.

 

În momentul în care viermele infectează o stație (host), acesta instalează un agent DDoS (Distributed Denial of Service). O organizație a fost infectată cu câteva ore înainte ca semnăturile antivirus să devină disponibile, iar viermele a avut timp să se răspândească.

 

Întrebări specifice pentru acest scenariu:

Cum s-ar putea identifica toate host-urile infectate?

  1. Cum ar fi putut organizația să împiedice intrarea viermelui înainte ca semnăturile antivirus să fi intrat in funcțiune?
  2. Cum ar fi putut organizația să împiedice răspândirea viermelui la nivelul rețelei de către host-urile infectate înainte ca semnăturile antivirus să fi intrat in funcțiune?
  3. Ar putea organizația să găsească o soluție de compromis pentru stațiile vulnerabile? Dacă da, cum ar putea fi făcută aceasta?
  4. Ce s-ar întâmpla și ce s-ar putea face în cazul în care host-urile infectate cu agentul DDoS au fost configurate să atace site-ul unei alte organizații în dimineața următoare?
  5. Cum s-ar schimba modalitatea de tratare a acestui incident în cazul în care unul sau mai multe host-uri infectate conțin informații sensibile despre angajații organizației?
  6. Cum ar trebui echipa (echipa de intervenție în caz de incident) să-i țină informați pe utilizatorii rețelei din cadrul organizației despre starea incidentului?
  7. Ce măsuri suplimentare ar putea fi luate pentru host-urile care nu sunt conectate la rețea la momentul respectiv (de exemplu, personal ce se află în vacanță, angajați externi ce se conectează ocazional, etc)?

Pentru o aprofundare a domeniului este recomandat a consulta ghidul National Institute of Standards and Technologies din SUA privind tratarea incidentelor de securitate: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf.

Directiva NIS 2

Directiva NIS 2

👉Directiva NIS 2 – Guvernul a adoptat ordonanța de urgență nr. 155 pentru transpunerea NIS2 prin care 𝐞𝐧𝐭𝐢𝐭𝐚̆𝐭̦𝐢𝐥𝐞 𝐝𝐞 𝐢𝐦𝐩𝐨𝐫𝐭𝐚𝐧𝐭̦𝐚̆ 𝐜𝐫𝐢𝐭𝐢𝐜𝐚̆ 𝐬̦𝐢 𝐢𝐦𝐩𝐨𝐫𝐭𝐚𝐧𝐭̦𝐚̆ 𝐜𝐫𝐢𝐭𝐢𝐜𝐚̆ 𝐫𝐢𝐝𝐢𝐜𝐚𝐭𝐚̆

Read More »