Accueil
 > Rapports de TEC > Blogue de TEC > Security Breach: Que faire maintenant?

Security Breach: Que faire maintenant?

Écrit par : Laura Taylor
Date de publication : juillet 18 2013

<

problème

Avec         tellement d'incidents de sécurité se produisent, de nombreux décideurs informatiques ne sont pas claires         à qui ils doivent en informer, et quelles mesures ils devraient prendre si leur         systèmes réseau ou ne sont pas respectées. Il ya une bonne chance que les collectivités locales et         Organismes fédéraux d'application de la loi ne seront probablement pas assez habile pour         mener une enquête adéquate. Y at-il quelqu'un d'autre vous devez en informer?         Où allez-vous commencer et que devez-vous rechercher?

enrôlement         le processus et les rapports

Chaque         organisation devrait avoir un processus pour traiter les incidents de sécurité,         qui représentent l'un des risques de sécurité les plus visibles, mais seulement une petite         cadre d'une politique plus large de la sécurité des entreprises. En outre, il devrait y avoir un         IT décideur dont la tâche est de s'assurer que le processus est suivi         et soigneusement exécuté.

        Selon la façon dont votre organisation est structurée, la bonne personne pour         être tenu pour responsable de la gestion de ce processus pourrait être le Directeur         de sécurité de l'information, le directeur de la technologie de l'information, le chef         Information Officer, ou chef de la sécurité. L'incident de sécurité         Gérant (la personne tenue responsable de la gestion de l'         processus) est la première personne qui devrait être averti quand une brèche de sécurité         se produit.

L'          Security Incident Manager devrait être le point de contact         pour toutes les communications relatives à l'incident de sécurité, et devrait         demander l'assistance d'un précédemment décidée gestion des incidents         Equipe si nécessaire. Si le site concerné est impliqué dans la transformation         systèmes de support de vie (hôpitaux ou les centres de contrôle du trafic aérien par exemple),         ou les transactions financières, il est important que l'incident de sécurité         Manger être joignable à tout moment par l'une pager ou un téléphone cellulaire, 24         heures par jour, 365 jours par an. Quand la vie des gens ou des transactions financières         sont à risque, bonne gestion des incidents de sécurité est d'une importance extrême.         

enregistrement         les détails

Il         est important d'enregistrer les détails de la faille de sécurité, sur un formulaire,         ou dans une base de données. Une sécurité Formulaire de traitement des incidents de typique devrait         inclure des champs à remplir et doit essayer de répondre autant du dessous         questions possibles:

  • L'incident signalé à l'Incident Manager ?

  • Date et heure du premier avis doivent être enregistrées. Quels sont les symptômes           du problème?

  • qui a signalé le problème? Obtenir toutes les informations de contact.

  • Où est le problème se manifeste? Lister toutes les adresses IP, les noms d'hôtes,           et les fichiers journaux.

  • Est-ce un événement multi-site?

  • Depuis combien de temps existe le problème? Est-ce un incident isolé ou d'une           attaque organisée?

  • Quelle chronologie, le cas échéant, peut être déterminée?

  • Quel est le point de l'incident d'entrée?

  • Quel est le potentiel pour les dommages causés par l'incident?

  • avons des fonctionnaires de police a notifié? Liste de tous les contacts.

  • objectifs de l'incident: procéder et protéger, poursuivre et juger ,           ou les deux?

En         tous les cas, la protection de la vie humaine et la sécurité devraient avoir la priorité.         Établir des dommages-intérêts au-dessus d'un certain seuil (au FBI         cas 5000.00 $) est souvent exigé par les organismes d'application de la loi avant qu'ils         sont en mesure de lancer une enquête. Par la suite, la protection doit être         assuré pour:

  • données sensibles ou propriétaires.

  •         Les données du système
  • (répertoires racines) et des fichiers journaux.

  • données utilisateur, des applications et programmes.

  • atténuation de perturbation des ressources d'information

Si         l'un des objectifs de l'incident est de poursuivre et juger, noter qu'il est         très important de ne pas toucher à la preuve. Cela signifie que les fichiers journaux         ne peut pas être édité dates et heures, et l'accès et la création ne peut pas être changé         sur des fichiers, des applications ou des ressources de données. Si les données sont écrasées,         transféré à un autre système, ou non cryptés envoyés sur les liaisons réseau,         il va rendre très difficile pour un procureur de créer un         cas mérite d'être poursuivie. L'accès aux systèmes offensé doit être immédiatement         limité.

Souvent,         de procéder et la protection peut entrer en conflit avec la poursuite et de poursuite.         Si vous avez des systèmes des clients qui ont besoin d'être réparé selon un certain         laps de temps, et ne pas avoir des disques de secours, reformater et réinstaller         un disque assurément altère et détruit les preuves. Très probablement         un transfert de fichiers affectés de disque vers une bande ou un CD inscriptible, sera         ne résiste pas au tribunal comme preuve admissible. Plus souvent qu'autrement, la plupart         entreprises décident de poursuivre et de protection est plus avantageux que         la poursuite et de poursuite.

contenir,         Éradiquer, et récupérer

L'         Security Incident Manager doit déterminer si l'incident doit être         géré en interne, ou si un cabinet externe devrait être mis à contribution pour         fournir une assistance. Dans tous les cas, la réponse devrait inclure confinement,         élimination et la récupération de l'incident. Pour contenir l'incident,         s'il est possible de le faire sans perturbation des services nécessaires, l'         systèmes concernés doivent être isolés logiquement en tirant sur la prise sur leur         interfaces réseau pour éviter d'autres manipulations par les cybercriminels.

Si         confinement et l'éradication est lent, il est conseillé de demander l'aide         de vos fournisseurs pour résoudre les problèmes. Appelez votre routeur et fournisseurs de commutateurs         et les informer de l'état de l'incident et leur demander des recommandations.         Faire liste d'accès des changements appropriés (ACL) sur votre routeur est souvent une         moyen de contenir le problème, et votre fournisseur de routeur devrait être en mesure d'aider         vous avec cela.

même,         votre fournisseur d'accès Internet (FAI) ou Applications Service Provider         (ASP) peut être en mesure de vous aider. Votre fournisseur de services doit avoir des contacts,         ressources et les procédures de traitement des incidents de sécurité - s'ils ne remplissent pas,         il est temps d'obtenir un nouveau fournisseur de services.

Si         un système a été compromis par root, administrateur ou agent de sécurité         privilèges, la boîte est détenu, et non par vous. Typiquement, l'un des premiers         les choses un cybercriminel va faire, c'est d'installer des chevaux de Troie pour dissimuler leur         identité. Chevaux de Troie sont des fichiers qui ressemblent à des fichiers système normales,         mais sont en fait des programmes d'activité hide intrus. Décortiquer         un système permettant de trouver tous les fichiers système remplacés par des chevaux de Troie en général         prend beaucoup plus de temps que de simplement réinstaller l'ensemble du système et la récupération         partir d'une sauvegarde. Par conséquent, il est devenu presque la norme pour simplement         réinstaller tout le système, ou mettre en place un nouveau, après un incident de sécurité         au lieu d'essayer de nettoyer l'ancienne.

Si         le système est un système de développement, il suffit de recompiler et le rétablissement des liens         code n'est pas assez bon puisque vous ne savez pas si le compilateur ou l'         bibliothèques qu'il utilise ont été sabotées. Vous devez reconstruire complètement         le système, de réinstaller le système d'exploitation, compilateurs, et tout l'appui         bibliothèques et des applications.

Recommandations         pour la prévention

Que         ou non les organismes d'application de la loi sont en mesure de vous aider, voici         organisations sont intéressés à connaître vos incidents de sécurité:         CERT, FIRST, sans, SecurityFocus, et Cybersnitch. Cybersnitch a une         système de déclaration en ligne qui est disponible sur leur site web. L'autre         organismes peuvent être atteints respectivement aux adresses suivantes:

intrusion@sans.org         

cert@cert.org         

first-sec@first.org         

incidents@securityfocus.com         

        de pornographie juvénile utiliser couramment les systèmes compromis pour lancer leur         publications. Si l'incident ne comportent de la pornographie juvénile, s'il vous plaît contacter         Condemned.org grâce à leur système de déclaration en ligne sur leur site.         Notez que par la loi fédérale, tous les cas de pornographie juvénile prescrivent une peine de prison         si l'auteur est pris, et suffisamment de preuves est présenté à condamner         eux.



 
comments powered by Disqus

Recherches récentes :
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others

©2014 Technology Evaluation Centers Inc. All rights reserved.