- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
Затопление SYNами происходит, когда атакующий инициирует много соединений TCP за короткое время (путем посылки пакетов SYN), но не завершает соединение.
Если атакующий инициировал 100 соединений TCP к конкретному порту услуги и не завершил какую-нибудь из них, то операционная система может не иметь ресурсов, доступных для инициирования другого соединения к этому порту услуги до тех пор, пока старые соединения не завершатся. Это должно вызвать временную DoS для намеченной услуги. Если атакующий продолжает посылать пакеты SYN, то DoS будет расширена.
Затопление SYNами также может произойти, если атакующие инициируют много тысяч соединений TCP за короткое время.
Существующие операционные системы устойчивы к затоплению SYNами и многие сетевые экраны обеспечивают защиту против затоплений SYNами.
36.Подготовка к обработке инцидентов отказа в обслуживании
При планировании обработки инцидентов отказа в обслуживании выполняются следующие мероприятия:
подготовка к обработке инцидентов отказа в обслуживании;
выбор и реализация защитных мер, препятствующих инцидентам отказа в обслуживании;
формирование контрольного перечня действий по обработке инцидентов отказа в обслуживании;
формирование приоритетного порядка обработки инцидентов отказа в обслуживании.
В дополнение к общему руководству должны быть выполнены следующие действия:
-установка ПО обнаружения вторжения, чтобы обнаружить трафик DoS и DDoS;
-осуществление мониторинга ресурсов для определения источника использования сетевой пропускной способности и использования критичных ресурсов узлов и для регистрации и оповещения, когда существует значительное отклонение от нормального поведения систем.
К таким защитным мерам относятся следующие:
-конфигурирование периметра сети так, чтобы запретить весь входящий и исходящий трафик, который не разрешен. Это должно включать:
а) блокирование использования услуг, таких как эхо и загрузка, которые больше не служат установленной цели и используются при атаках DoS;
б)выполнение фильтрации выхода и входа, чтобы блокировать ложные пакеты;
в)формирование правил сетевого экрана и управления доступом к маршрутизатору, позволяющих эффективно блокировать опасный трафик;
г)конфигурирование пограничных маршрутизаторов таким образом, чтобы блокировалась ретрансляция направленных широковещательных рассылок;
-ограничение скорости для определенных протоколов, таких как ICMP, чтобы они могли использовать только определенную часть общей пропускной способности;
-блокирование всех ненужных услуг и ограничение использования услуг, которые могут быть использованы при атаках DoS, на узлах, имеющих доступ в Internet;
-обеспечение уверенности, что сети и системы не работают на максимальной пропускной способности.
37.Приоритетный порядок обработки.
Анализ инцидента отказа в обслуж-ии.
1.Установление степени опасности инцидента с т.з. его воздействия на бизнес.
1.1 Идентификация затронутых активов и прогнозирование какие активы могут быть затронуты.
1.2Оценивание существующих и потенциальных воздействий инцидента.
1.3 определение по матрице приоритетов условий реагирования на основе технического воздействия и затронутых активов
2. Сообщение об инциденте соответств. внутр. персоналу и внешним организациям.
Сдерживание устранение и восстановление после инцидента.
3. Выполнение начального сдерживающего инцидента.
4.Получение, докум-ие, сохранение и обеспечение безопасности свидетельств инцидента.
5.Устранение инцидента.
6. Восстановление после инцидента (возвращение в работе, проверка функционирования, мониторинг для фиксации подобных инцидентов)
Деятельность после инцидента
7.Подготовка завершающего отчета
8.Обсуждение полученных уроков
Высокую критичность имеют активы: связность с Internet, Web-серверы, рабочие станции системных и ИБ администраторов, сервер мониторинга.
Средняя: серверы файлов, серверы печати, почтовый сервер.
Низкая : раб станции пользователей.
Предвестники атак.
Предвестник- Атакам DoS часто предшествует разведывательная деятельность, чтобы определить, какие атаки могут быть эффективными. Например, определение объема трафика, опасного для данной системы. Действия по предотвращению- Если обнаруживается активность, которая кажется подготовкой для атаки DoS, организация может блокировать атаку посредством быстрого изменения ее безопасности, например, изменение правил сетевого экрана, чтобы блокировать конкретный протокол или защитить уязвимый узел.
Предвестник- Недавно выпущенный инструмент DoS может представить значительную угрозу для организации. Действия по предотвращению- Расследуйте новый инструмент и, если можно, измените средства управления безопасностью так, чтобы этот инструмент стал неэффективным при реализации атак DoS на системы организации.