- •1.Процессы планирования иб ас. Определение корпоративных целей и стратегий иб.
- •2 Процессы планирования иб ас. Формирование корпоративной политики иб
- •3 Процессы планирования иб ас. Управление рисками иб. Отношения между элементами безопасности. Модель управления рисками иб ас
- •4) Процессы планирования иб ас. Базовая оценка рисков. Неформальная оценка рисков. Комбинированная оценка рисков
- •5.Процессы планирования иб ас. Детальная оценка рисков. Определение области применения и границ оценки рисков иб.
- •6.Процессы планирования иб ас. Детальная оценка рисков. Идентификация и определение ценности активов.
- •7.Процессы планирования иб ас. Детальная оценка рисков. Анализ и оценка угроз иб. Анализ и оценка существующих защитных мер.
- •8 Процессы планирования иб ас. Детальная оценка рисков. Оценка уязвимостей иб. Примеры уязвимостей иб
- •9 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования угроз мерами рисков иб
- •10 Процессы планирования иб ас. Детальная оценка рисков. Метод ранжирования систем и/или активов мерами рисков
- •11 Процессы планирования иб ас. Детальная оценка рисков. Метод допустимых и недопустимых рисков иб
- •12. Процессы планирования иб ас. Выбор зм.
- •15 Формирование плана реализации зм ас
- •16. Процессы реализации и эксплуатации защитных мер ас. Реализация защитных мер
- •17. Процессы реализации и эксплуатации защитных мер ас. Техническое обслуживание защитных мер
- •18. Процессы реализации и эксплуатации защитных мер ас. Управление изменениями ас
- •22 Планирование обработки инц-ов иб
- •23 Реализация и эксплуатация процедур обработки инц-ов иб
- •24 Проверка эффективности обработки инц-ов иб
- •25 Совершенствование обработки инцидентов иб
- •27. Обработка инцидентов с неавторизованным доступом. Защитные меры, препятствующие инцидентам с неавторизованным доступом
- •28. Обработка инцидентов с неавторизованным доступом. Приоритетный порядок обработки инцидентов с неавторизованным доступом
- •29. Обработка инцидентов с неавторизованным доступом. Обнаружение и анализ инцидентов с неавторизованным доступом
- •30. Сдерживание устранение восстановление.
- •31 Определение инцидента отказа в обслуживании. Примеры инцидентов отказа в обслуживании
- •32.Обработка инцидентов отказа в обслуживании. Рефлекторные атаки
- •33.Обработка инцидентов отказа в обслуживании. Усилительные атаки
- •34.Обработка инцидентов отказа в обслуживании. Атаки распределенного отказа в обслуживании
- •35.Обработка инцидентов отказа в обслуживании. Атаки затопления syNами
- •36.Подготовка к обработке инцидентов отказа в обслуживании
- •37.Приоритетный порядок обработки.
- •38.Злоумышленные действия.
- •Действия по сдерживанию, устранению инцидента отказа в обслуживании и восстановлению после инцидента. Сбор и обработка данных об инциденте отказа в обслуживании
- •Вопрос 40 – Подготовка к обработке инцидентов, связанных с применением вредоносного кода
- •Вопрос 41 - Приоритетный порядок обработки инцидентов, связанных с использованием вредоносного кода. Предвестники атак, связанных с использованием вредоносного кода и действия по их предотвращению
- •42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
- •2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
- •3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
- •4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
- •5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
- •44. Определение инцидента, связанного с несоответствующим использованием. Примеры инцидентов, связанных с несоответствующим использованием.
- •45. Подготовка к обработки инцидентов, связанных с несоответствующим использованием
- •46. Приоритетный характер обработки инцидентов, связанных с несоответствующим использованием
- •Злоумышленные действия и указатели, связанные с несоответствующим использованием.
- •Процессы проверки иб ас. Мониторинг иб ас
- •Процессы проверки иб ас. Цели и способы проверки соответствия иб ас. Проверка соответствия иб ас с помощью самооценки
- •Процессы проверки иб ас. Проверка соответствия иб ас с помощью аудита иб
- •51. Процессы проверки иб ас. Анализ иб ас со стороны руководства
- •Процессы совершенствования иб ас. Реализация улучшений и изменений иб ас
- •Процессы совершенствования иб ас. Информирование об изменениях и их согласование с заинтересованными сторонами. Оценка достижения поставленных целей иб ас
42. Злоумышленные действия (вд) и указатели (ву), связанные с использованием вредоносного кода
1(ВД)Вирус, который распространяется посредством e-mail, инфицирует узел. ВУ:
– Антивирусное ПО оповещ. об инфиц. файлах. – Неожиданный рост колич-ва перед. и приним. Сообщ. e-mail. – Изменения в шаблонах для документов текст. обработки, крупноформатных таблиц и т.д.
– Удаленные, разрушенные или недоступные файлы. – Необычные элементы на экране, такие как необычные сообщения и графики. – Программы медленно стартуют, медленно выполняются или не выполняются совсем. – Нестабильность и полный отказ системы. – Если вирус достигает доступа на корневом уровне, смотрите указатели по «Компрометации корня узла», перечисленные в таблице 2 «Указатели неавторизованного доступа»
2.(Вд)Червь, который распространяется посредством уязвимой услуги, инфицирует узел. Ву:
– Антивирусное программное обеспечение оповещает об инфицированных файлах. – Сканирования порта и безуспешные попытки соединения, нацеленные на уязвимую услугу (например, открытые ресурсы общего пользования Windows, HTTP). – Возросшее использование сети. – Программы медленно стартуют, медленно выполняются или не выполняются совсем. – Нестабильность и полный отказ системы. – Если червь достигает доступа на корневом уровне, смотрите указатели по «Компрометации корня узла», перечисленные в таблице 3 «Указатели неавторизованного доступа»
3(Вд)Троянский конь устанавливается и исполняется на узле. Ву:
– Антивирусное программное обеспечение оповещает о версиях файлов, инфицированных Троянским конем. – Система обнаружения вторжения в сеть оповещает о передаче Троянского коня при взаимодействии клиент‑сервер. – Записи в журналах регистрации межсетевого экрана и маршрутизатора о передаче Троянского коня при взаимодействии. – Сетевые соединения между узлом и неизвестными удаленными системами. – Необычное и неожиданное открытие портов. – Выполнение неизвестных процессов. – Значительные объемы сетевого трафика, генерируемого узлом, особенно, если этот трафик направлен на внешний(е) узел (ы). – Программы медленно стартуют, медленно выполняются или не выполняются совсем – Нестабильность и полный отказ системы. – Если Троянский конь достигает доступа на корневом уровне, смотрите указатели по «Компрометации корня узла», перечисленные в таблице 4 «Указатели несавторизованного доступа»
4(Вд)Вредоносный мобильный код на Web‑сайте используется, чтобы инфицировать узел вирусом, червем или Троянским конем. Ву:
– Указатели, перечисленные выше, для подходящего типа вредоносного кода. – Неожиданные диалоговые окна, требующие разрешения что-то сделать. – Неожиданная графика, такая как перекрывающиеся или перекрытые окна сообщений
5(Вд)Вредоносный мобильный код на Web‑сайте использует уязвимости, имеющиеся на узле. Ву:
– Неожиданные диалоговые окна, требующие разрешения что-то сделать. – Необычная графика, такая как перекрывающиеся или перекрытые окна сообщений. – Неожиданный рост количества передаваемых и принимаемых сообщений e-mail. – Сетевые соединения между узлом и неизвестными удаленными системами. – Если мобильный код достигает доступа на системном уровне, то следует использовать указатели по «Компрометации узла», перечисленные в таблице 5 «Указатели неавторизованного доступа»
6(ВД)Пользователь получает сообщение с вирусной мистификацией. ВУ: – Исходным (original) источником сообщения является не авторизованная группа, занимающаяся обеспечением безопасности компьютеров, а правительственное агентство или важное официальное лицо. – Никаких связей с внешними источниками. – Тон и терминология пытаются вызвать панику или чувство назойливости убеждают получателей вычеркнуть определенные файлы и передавать сообщения другим
Действия по сдерживанию, устранению инцидента, связанного с использованием вредоносного кода и восстановлению после инцидента. Сбор и обработка данных об инциденте, связанном с использованием вредоносного кода.
По причине того, что вредоносный код действует скрытно и может быстро распространяться на другие системы, необходимо заблаговременное сдерживание инцидента, связанного с использованием вредоносного кода, чтобы пресечь его распространение и нанесение дополнительного ущерба. Если инфицированная система не является критической, настоятельно рекомендуется отключить ее от сети немедленно. Если система выполняет критические функции, ей следует оставаться в сети только в том случае, если ущерб, который будет нанесен организации в результате недоступности услуг, будет больше, чем риски безопасности, создаваемые невыполнением немедленного отключения (отсоединения) этой системы.
Действия по сдерживаю:
- Использование антивирусного программного обеспечения; - блокировка подозрительных файлов; - ограничение использования неосновных программ со способностями передачи файла; - обучение пользователей безопасной обработке вложений e-mail; - Необходимо пренебрегать открытым совместно используемым ресурсом (общим каталогом) Windows.; - конфигурация клиентов e-mail, для более безопасных действий.;- Антивирусные предупредительные сообщения являются полезным источником информации.
Действия по устранению:
- выполнение сканирований портов, чтобы обнаружить узлы, работающие с программой Троянского коня или неизвестным (потайным) портом; - использование антивирусных инструментальных средств сканирования и очистки, предназначенных для борьбы с конкретными видами вредоносного кода; - просмотр журналов регистрации из серверов e-mail, межсетевых экранов и других систем, через которые может пройти вредоносный код, а также журналов регистрации отдельных узлов; - Конфигурирование программного обеспечения по обнаружению вторжения в сеть и узел для выявления деятельности, связанной с инфицированием; - проведение аудита процессов, проходящих в системах, с целью подтверждения, что все они являются корректными; - передача неизвестного вредоносного кода поставщикам антивирусов.; - конфигурирование серверов и клиентов e-mail, с целью блокирования сообщений e-mail.; - блокирование конкретных узлов.; - отключение серверов e-mail.; - изолирование сетей от Internet..
Восстанавление:
Антивирусное программное обеспечение эффективно идентифицирует и удаляет инфицирование вредоносным кодом; однако, некоторые инфицированные файлы нельзя «дезинфицировать». (Файлы могут быть удалены или заменены чистыми резервными копиями; в случае с приложениями, затронутое приложение может быть инсталлировано повторно.) Если вредоносный код обеспечил атакующим доступ на корневом уровне, то может быть невозможно определить, какие другие действия могли выполнить атакующие. В таких случаях система должна быть либо восстановлена из предыдущей неинфицированной резервной копии, либо перестроена «с нуля». Затем эту систему следует защитить таким образом, чтобы она была невосприимчива к другой инфекции, присущей тому же самому вредоносному коду.
Сбор (неполный)
Несмотря на то, что, несомненно, возможно собрать показания в отношении инцидентов, связанных с использованием вредоносного кода, часто это является бесполезным по причине того, что вредоносный код передается либо автоматически, либо случайно инфицированными пользователями. Поэтому, выявление источника вредоносного кода является очень сложным и трудоемким процессом. Тем не менее, сбор образцов вредоносного кода в некоторых случаях может быть полезным для проведения дальнейшего расследования.