- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
30. Сдерживание устранение восстановление.
Время реагирования на инцидент является критичным при сдерживании инцидента с неавторизованным доступом. Чтобы определить точно, что случилось, может потребоваться расширенный анализ; и в случае активной атаки состояние системы может быстро изменяться. В большинстве случаев целесообразно выполнить начальный анализ инцидента, установить степень опасности этого инцидента, реализовать начальные меры сдерживания и затем выполнить дальнейший анализ, чтобы определить, достаточны ли были меры сдерживания.
Обработчикам инцидентов сложно выбрать стратегии сдерживания, т.к., если они допускают наихудшее, то стратегия сдерживания может заблокировать все сети и системы. Обработчики инцидентов должны рассмотреть более умеренные решения, которые направлены на уменьшение риска до приемлемого уровня, чем на блокирование всех сетей и систем. Последовательность действий при сдерживании инцидента с неавторизованным доступом может быть такой:
-изолирование затронутых узлов и систем. Это простейший прием по сдерживанию инцидента с неавторизованным доступом – отсоединить каждую затронутую систему и узел;
-блокирование затронутых услуг. Если атакующий использует конкретную услугу, чтобы получить неавторизованный доступ, то сдерживание может представлять собой временное или постоянное блокирование этой услуги;
-блокирование маршрутов атакующего. Следует препятствовать доступу атакующего к соседним активам, которые могут быть следующими целями.;
-блокирование учетных записей пользователя, которые могли быть использованы при атаке. Одни и те же учетные записи и пароли, которые были скомпрометированы в одной системе, могут работать в других системах;
-улучшение мер физической безопасности.
Если при устранении инцидента и восстановлении после инцидента с неавторизованным доступом обработчики инцидентов предполагают, что атакующий получил доступ к системе, то нельзя доверять OC. В этом случае необходимо восстановить операционную систему и приложения из резервной копии и затем защитить систему. Рекомендуется изменение всех паролей во всех системах, которые имели отношения с атакованной системой.
Если атакующий получает меньший уровень доступа, чем уровень администратора, то действия по устранению и восстановлению могут соответствовать уровню, до которого атакующий получил доступ.
При сборе и обработке данных об инциденте с неавторизованным доступом и подготовке отчета необходимо зафиксировать относящиеся к этому инциденту данные, включающие журналы регистрации узлов и приложений, предупреждения об обнаружении вторжения и журналы сетевых экранов, могут также обеспечить доказательство неавторизованного доступа. Если во время инцидента произошло нарушение физической безопасности, то дополнительные доказательства могут быть получены с помощью журналов системы физической безопасности, магнитофонов, видеокамер и данных очевидцев.
31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
Отказ в обслуживании (DoS) является действием, которое препятствует или наносит вред авторизованному использованию сетей, систем или приложений путем истощения ресурсов, таких как центральный блок обработки, память, пропускная способность и область дисковой памяти. Успешные атаки DoS, проводимые против хорошо известных Web-сайтов, делающие эти Web-сайты недоступными для пользователей, получили широкое распространение. Другие примеры атак DoS включают:
-использование всей доступной пропускной способности сети посредством генерации необычно больших объемов трафика;
-передача неправильно оформленных пакетов TCP/IP к серверу так, что его операционная система выходит из строя;
-передача незаконных запросов к приложению, чтобы вывести его из строя;
-создание многочисленных запросов с интенсивной для процессора нагрузкой так, чтобы обрабатывающие ресурсы сервера использовались полностью (например, запросы, которые требуют от сервера шифровать каждый ответ);
-установление многих одновременных сеансов входа в систему, к серверу таким образом, чтобы другие пользователи не могут начать сеанс входа;
-использование всего дискового пространства путем создания многочисленных больших по объему файлов.
Четыре типа атак DoS: рефлекторные атаки, усилительные атаки, атаки распределенного DoS и затопление SYNами.