Lab11
.docxМИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ
КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ
УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ
«САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»
(СПбГУТ)
Факультет Инфокоммуникационных сетей и систем
Кафедра Защищенных систем связи
Дисциплина Защита операционных систем сетевых устройств
ОТЧЕТ ПО ЛАБОРАТОРНОЙ РАБОТЕ №11
Направление/специальность подготовки: Информационная безопасность
Студенты:
Преподаватель: Скорых М.А. ______
(ФИО) (подпись)
Санкт-Петербург 2022
Сценарий 1. Заражение интернет-червем и агентом распределенной атаки типа «отказ в обслуживании» (DDoS-атака)
Изучите следующий сценарий, обсудите и определите вопросы, которые должны быть заданы на каждом этапе процесса реагирования на инциденты. При формулировке вопросов ориентируйтесь на сведения об организации и положения CSIRC.
В этом сценарии рассматривается небольшая семейная инвестиционная компания.
У компании имеется только один офис и не более 100 сотрудников. Утром во вторник был выпущен новый интернет-червь, он распространяет себя через съемный носитель и может копировать себя, чтобы открыть совместный доступ к ресурсам Windows. Когда этот интернет- червь заражает хост, он устанавливает агента DDoS-атаки. Только через несколько часов после начала распространения этого интернет-червя стали доступны сигнатуры антивируса. Организация уже была заражена в большой степени.
Эта компания наняла небольшую группу экспертов по безопасности, которые часто используют ромбовидные модели обработки событий безопасности.
Подготовка:
Что такое системные и сетевые профили... это нормальное и ожидаемое поведение систем и сетей в организации?
Что является активом организации?
Обнаружение и анализ:
Должны ли мы очистить и восстановить? Должны ли мы стереть и заменить?
Был ли индикатор обнаружения?
Сдерживание, устранение и восстановление:
Какова стратегия сдерживания?
Должны ли мы очистить и восстановить? Должны ли мы стереть и заменить?
Нужно ли нам удалять кеш оперативной памяти? Доступны ли патчи и обновления?
Каков масштаб атаки?
What is the scope of the attack?
Уведомлены ли заинтересованные стороны об инциденте?
Действия после инцидента
Что мы узнали из атаки?
Как мы можем предотвратить подобные атаки в будущем?
Сценарий 2. Несанкционированный доступ к зарплатным ведомостям
Изучите следующую ситуацию. Обсудите и определите вопросы, которые должны быть заданы на каждом из этапов процесса реагирования на инциденты. При формулировке вопросов ориентируйтесь на сведения об организации и положения CSIRC.
В данной ситуации рассматривается больница среднего размера с
несколькими дополнительными офисами и медицинскими услугами. У организации есть большое число филиалов, в которых работает более 5000 сотрудников. Из-за размера организации была внедрена модель CSIRC с распределенными группами реагирования на инциденты. В организации также есть группа координации, которая следит за CSIRT и помогает им взаимодействовать друг с другом.
В среду вечером группа обеспечения физической безопасности организации принимает звонок от сотрудницы, начисляющей заработную плату, которая видела, как неизвестный человек вышел из ее офиса, бегом спустился в холл и вышел из здания. Эта сотрудница отходила на несколько минут, оставив
свою рабочую станцию незаблокированной. Программа начисления зарплаты была по-прежнему открыта на главном меню, как и на тот момент, когда
администратор отходила от компьютера, но теперь она заметила, что
указатель мыши сдвинут. Команду реагирования на инциденты попросили найти доказательства, связанные с этим инцидентом, и определить, какие действия выполнялись.
Специалисты по безопасности применили модель цепи деактивации и
выяснили, как пользоваться базой данных VERIS. Для того чтобы обеспечить дополнительный уровень защиты, они передали часть работы внештатному персоналу в MSSP, чтобы обеспечить круглосуточный мониторинг.
Подготовка:
Будет ли организация рассматривать это действие как инцидент? Если да, то какую из политик организации нарушает эта деятельность?
Какие меры принимаются, чтобы попытаться предотвратить возникновение инцидента такого типа или ограничить его воздействие? Обнаружение и анализ:
Какие предвестники инцидента, если таковые имеются, организация может обнаружить? Могут ли какие-либо предвестники заставить организацию принять меры до того, как произойдет инцидент?
Какие индикаторы инцидента может обнаружить организация? Какие индикаторы заставят кого-то подумать, что инцидент мог произойти?
Какие дополнительные инструменты могут понадобиться для обнаружения этого конкретного инцидента?
Как команда расставит приоритеты при обработке этого инцидента?
Сдерживание, устранение и восстановление:
Какую стратегию следует предпринять организации для сдерживания инцидента? Почему эта стратегия предпочтительнее других?
Какие дополнительные инструменты могут понадобиться для реагирования на этот конкретный инцидент?
Какой персонал будет задействован в процессах сдерживания, искоренения и/или восстановления?
Какие источники доказательств, если таковые имеются, должна приобрести организация? Как будут получены доказательства? Где бы он хранился? Как долго он должен храниться?
Действия после инцидента:
Что можно сделать, чтобы предотвратить повторение подобных инцидентов в будущем?
Что можно сделать, чтобы улучшить обнаружение подобных инцидентов?