Объявление

**Алексей Лукацкий** · 06.10.2010, 00:00

Может будет полезно. Мой курс по управлению инцидентами. Построен на западной практике.

**conficker-i** · 06.10.2010, 18:17

какие конкретно вопросы интересуеют? могу поделиться опытом.

**godok** · 24.10.2010, 22:44

Сообщение от conficker-i Посмотреть сообщение

какие конкретно вопросы интересуеют? могу поделиться опытом.

Интересуют вопросы практической реализации процесса реагирования. Сейчас пытаюсь как-то организовать реагирование на инциденты по банк-клиенту. Информация доходит не сразу по происшествиям. Как у вас это процесс построен?

**Uomo** · 11.11.2010, 14:33

Комрад conficker-i, поделился насчет реализации процесса реагирования на инциденты и попросил опубликовать его ответ:

Сообщение от conficker-i

Ну, если говорить в двух словах, то необходимо разработать процедуру по управлению инцидентами ИБ, где определить:
- основные цели данного процесса
- что считается инцидентом ИБ
- группа реагирования на инциденты ИБ, назначить ответственных
- классификация инцидентов: вредоносный код, отказ в обслуживании, НСД и тп (есть различные best practise на этот счет, лучше смотри стандарты NIST)
- Оценка степени серьезности инцидента
- Регистрация инцидента (должна весть единая БД всех инцидентов, с их статусами)
- Оповещение заинтересованных лиц (группы реагирования, доп. сотрудников)
- Расследование (кто, как, какие возможны последствия для виновного)
- Устранение последствий и причин (внедрение доп. контролей при необходимости)
- Закрытие инцидента
- Регулярная отчетность по инцидентам (кому, как часто)

Эта статья может быть полезна
http://www.osp.ru/os/2006/10/3910101/_p1.html

**conficker-i** · 11.11.2010, 16:23

Я так понял, всех интересует именно практика, конкретные примеры.
Пожалуйста, выкладываю один план-отчет по инциденту. Надеюсь, окажется полезным.

Суть ситуации - ответственный по инцидентам ИБ получает сообщение о множестве залоченных учеток в AD. Что делать?

**Uomo** · 13.11.2010, 10:47

В Интернете появился интересный сайт посвященный инцидентам с занимательными примерами:
https://verisframework.wiki.zoho.com...ing-VERIS.html
Один из них

Example 3: Privileged insider inadvertently installs malware using BitTorrent

A help desk employee who works the night shift decides to install Bittorrent in order to download the latest and greatest movie. Using Bittorrent is a violation of his organizations policy, but since he has the privileges, he can do what he wants. When he downloads the movie, it is infected with malcode. The virus begins to propagate and infect other machines on the network installing keyloggers and disabling anti-virus. This causes the Networks & NW Devices to be flooded with traffic, which creates latency for VoIP calls going into the organizations call center.

А как считают уважаемые участники форума, насколько актуальна угроза заражения через movie, it is infected with malcode?!

**malotavr** · 13.11.2010, 13:17

Сообщение от Uomo Посмотреть сообщение

В Интернете появился интересный сайт посвященный инцидентам с занимательными примерами:
https://verisframework.wiki.zoho.com...ing-VERIS.html
Один из них

А как считают уважаемые участники форума, насколько актуальна угроза заражения через movie, it is infected with malcode?!

Технически - легко.
Пример уязвимости: http://web.nvd.nist.gov/view/vuln/de...=CVE-2010-2553
Пример эксплойта к ней: http://downloads.securityfocus.com/v...loits/42256.py

На тактически для нарушителя гораздо привдекательнее уязвимости браузера или флеша.

Объявление

Реагирование на инциденты

Реагирование на инциденты

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Пользователи, просматривающие эту тему