Предварительный анализ инцидента



Скачать 31.22 Kb.

Дата10.12.2016
Размер31.22 Kb.
Просмотров133
Скачиваний0

По материалам http://sans.org http://itsec.by/
ПРЕДВАРИТЕЛЬНЫЙ АНАЛИЗ ИНЦИДЕНТА
БЕЗОПАСНОСТИ (СОВЕТЫ)
В шпаргалке представлены рекомендации по проведению предварительного анализа подозрительной системы, с целью определения необходимости проведения официального расследования.
Оцен ка под оз рительной си туации

Чтобы сохранить следы атакующего, избегайте действий, которые связаны с доступом ко многим файлам или установкой инструментов.

Посмотрите системные журналы, журналы безопасности, а также приложений в поисках необычных событий.

Посмотрите на детали конфигурации сети и соединений; обратите внимание на необычные параметры, сессии или порты.

Посмотрите на список пользователей для учетных записей, которых не должно быть в системе или они должны были быть отключены.

Посмотрите на список запущенных процессов или запланированных заданий в поисках тех, которые не должны присутствовать в системе.

Ищите необычные программы, настроенные на автоматический запуск во время запуска системы.

Проверьте ARP и DNS настройки, посмотрите на содержание hosts файла в поисках записей которые не должны присутствовать в системе..

Ищите необычные файлы и проведете проверки целостности ОС и файлов приложений.

Используйте сетевой снифер, для обнаружения необычной активности.

Руткит может скрыть компрометацию системы от обнаружения различными инструментами; доверяйте своим инстинктам, в случае если система работает с отклонениями.

Изучите недавние сообщения о проблемах, обнаружении вторжений и смежные оповещения для вашего типа системы.
Если вы счи таете, что компрометация имела
место…

Привлеките специалиста реагирования на инциденты для последующих шагов, и сообщите об этом вашему менеджеру.

Не паникуйте, даже если другие будут торопить вас; сосредоточитесь на процессе реагирования на инциденты, чтобы избежать ошибок по невнимательности.

Для прерывания продолжающейся атаки, отключите систему от сети; не перезагружайте систему и не отключайте питание.

Ведите тщательные заметки, чтобы можно было отследить, что вы обнаруживали, когда и при каких обстоятельствах.
Пред вари тельная оц енка Windows систем
Просмотр журнала событий eventvwr
Изучение конфигурации сети arp –a, netstat –nr
Список сетевых соединений и связанные с ними детали netstat –nao, netstat –vb, net session, net use
Список пользователей и групп lusrmgr, net users, net localgroup administrators, net group administrators
Просмотр запланированных заданий schtasks
Посмотрите на автоматически запускаемых программ msconfig
Список процессов taskmgr,
wmic process list full
Список служб net start, tasklist /svc
Проверка настроек
DNS и hosts-файла ipconfig /all, ipconfig /displaydns, more %SystemRoot%\ 
System32\Drivers\etc\hosts
Проверка целостности файлов операционной системы (влияет большое количество файлов!) sigverif
Исследование недавно измененных файлов (влияет большое количество файлов!) dir /a/o-d/p 
%SystemRoot%\ 
System32
Избегайте использования Windows Explorer, так как он изменяет полезные детали файловой системы; используйте параметры командной строки
Пред вари тельная оц енка Unix си стем
Посмотрите на файлы журнала событий в директориях (места могут различаться)
/var/log,
/var/adm,
/var/spool
Список последних событий безопасности wtmp, who, last, lastlog
Изучите конфигурацию сети arp –an, route print
Список сетевых соединений и связанные с ними детали netstat –nap (Linux), netstat –na (Solaris), lsof –i
Список пользователей more /etc/passwd
Просмотр запланированных заданий more /etc/crontab, ls /etc/cron.*, ls /var/at/jobs
Проверка настроек DNS и hosts-файла more /etc/resolv.conf, more /etc/hosts
Проверьте целостность установленных пакетов (влияет большое количество файлов!) rpm -Va (Linux), pkgchk (Solaris)
Просмотр автоматически запускаемых сервисов chkconfig --list (Linux), ls /etc/rc*.d (Solaris), smf (Solaris 10+)
Список процессов ps aux (Linux, BSD), ps -ef (Solaris), lsof +L1
Обнаружение недавно измененных файлов (влияет большое количество файлов!) ls –lat /, find / -mtime -2d -ls
Коммуникации при реагировании на инциденты

Не сообщайте информацию об инцидентах никому кроме команды реагирования на инциденты.

Избегайте отправки конфиденциальных данных через электронную почту или мессенджер без шифрования.

Если вы подозреваете, что сеть была взломана, общайтесь без использования скомпрометированной сети, например используя не-VoIP телефоны.
Ключевы е шаги реаги рования на инциденты
1. Подготовка: Приготовить заранее и изучить необходимые инструменты, изучить вашу IT среду.
2. Идентификация: Обнаружить инцидент, определить его область, и привлечь соответствующие стороны.
3. Сдерживание: Локализовать инцидент, чтобы минимизировать его влияние на соседние ИТ-ресурсы.
4. Устранение: Ликвидировать скомпрометированные элементы (артефакты), при необходимости, до перехода к этапу восстановления.
5. Восстановление: Восстановите системы, возможно, через переустановку или резервное копирование.
6. Подведение итогов: Документируйте детали инцидента, обобщите разрозненные сведения, и обсудить изученные уроки.


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал