Documente Academic
Documente Profesional
Documente Cultură
CERT-RO
CUPRINS
Scop ....................................................................................................................... 3
Context, termeni i definiii. .................................................................................. 3
Investigarea unui incident de securitate cibernetic .............................................. 4
a. Echipa de investigare a unui incident de securitate cibernetic ........................ 4
b. Investigarea incidentelor cibernetice ................................................................ 5
2 / 10
Scop
Prezentul document are ca scop realizarea unui ghid referitor la modul de investigare a
incidentelor privind securitatea cibernetica, din perspectiva procedurilor, instrumentelor i
recomandrilor care pot fi utilizate pentru o buna identificare a cauzelor care au determinat
apariia incidentelor i a aciunilor care se impun pentru eradicarea acestuia.
Categorie
Tipuri
ntreruperea serviciului
Furturi online
Mail Bomb
atac de tip PING
atac de tip solicitri multiple
Packet Floods
infecii malware
scanri de porturi deschise
System Mapping
System Probe
Utilizarea chat messaging
Malware infections
MP3
Warez: Sites
Video Copyright
Content Violation
Furt de date bancare
Furt de parole
Furt de identitate
Spam
Mass Mail
Pornografie
3 / 10
4 / 10
iii. Echipa tehnic de investigare este alctuita din mai muli membri, fiecare avnd diferite
responsabiliti, precum:
realizarea de achiziii de date n situaia apariiei unui incident.
analiza forensics a datelor achiziionate n cazul apariiei unui incident.
analiza malware a aplicaiilor nelegitime identificate.
analiza vulnerabiliti identificate i responsabile pentru apariia incidentului.
iv. Consilierul juridic (daca este cazul) este persoana responsabil pentru consilierea i
ndrumarea din punct de vedere juridic pentru obinerea rezultatelor scontate.
Remediere incident
(Business Continuity
Planning)
Investigare incident
Identificare incident
Creare Indicatori de
compromitere
Izolare incident
Implementare
indicatori de
compromitere
Eradicare incident
Identificare pagube
Remediere pagube/
cauze
Restaurare sisteme
afectate
Prevenire reaparitie
incident
Prevenire reaparitie
Comunicare incident
Comunicare situatie
incident
Identificare sisteme
compromise
Colectare probe
digitale
Analiza probelor
colectate
Diagrama
procesului de rspuns la incident
Scopul investigrii unui incident de securitate cibernetica este acela de a putea rspunde la
urmtoarele ntrebri: ce s-a ntmplat?, cum s-a ntmplat? i, daca este posibil, cine a atacat?.
5 / 10
6 / 10
7 / 10
multe configurri n funcie de utilitarul folosit, dar de preferat trebuie sa includ: procese active,
conexiuni de date active, log-uri, lista cu obiecte din sistemul de fiiere, coninutul registrelor,
coninutul unor fiiere suspecte.
Achiziie de memorie RAM: se impune n situaiile n care exist suspiciunea c atacatorul
a utilizat mecanisme de ascundere a activitii, ca de exemplu rootkit-uri. De asemenea, achiziia
de memorie este util pentru situaiile n care activitatea maliioas este rezident exclusiv n
memoria RAM. n astfel de situaii este de preferat realizarea unei achiziii de memorie RAM
complet.
Achiziie de fiiere de sistem (hard disk): n funcie de tipul de incident se va evalua daca se
impune o achiziie de tip full bit to bit, sau una pariala cu sistemul informatic pornit.
n anumite situaii este de preferat realizarea a doua copii ale hard disk-ului, una pentru
realizarea analizei forensics i una pentru crearea unui nou system disk care va permite rularea
acestuia ntr-un mediu izolat.
realizarea unei achiziii de log-uri/jurnale de reea existente pentru o perioada ct mai
mare de timp (minim 48h). De asemenea, dac este permis accesul la sistemul compromis pentru
perioad mai mare de timp i nu se impune izolarea imediat a acestuia, de preferat este
realizarea unei capturi de trafic aferent acestuia pentru o perioada de timp de la 48 de ore pana la
7 zile.
Colectarea de probe electronice impune nregistrarea i etichetarea acestora, descrierea
modului n care s-a realizat operaiunea, etapele, persoanele prezente, data i ora i persoana
responsabil pentru gestionarea lor. Dac este cazul, acest proces trebuie realizat n total
concordan cu reglementrile legislative n vigoare astfel nct sa permit utilizarea acestora n
instan.
Dac situaia o impune este de preferat s se realizeze intervievarea
persoanei/persoanelor care au identificat incidentul sau care utilizau sistemul informatic
compromis la momentul apariiei/identificrii incidentului.
Depozitarea probelor digitale colectate se va face ntr-un loc sigur, la care accesul se
realizeaz n funcie de permisiuni i n mod restricionat.
vi. Analiza datelor colectate
n aceasta etapa se va realiza examinarea probelor digitale colectate n etapa anterioara, aciune
orientata pentru rspunderea la ntrebrile necesare rezolvrii investigaiei. Rezultatele analizei va
fi structurata intr-un raport.
n aceast etap exist 3 tipuri majore de analize:
analiza malware: n cadrul investigaiei exist posibilitatea identificrii unor fiiere
nelegitime care au fost utilizare n realizarea atacului care necesita analiz att n mod dinamic cat
i n mod static.
analiza de tip live: se realizeaz pe baza probelor digitale colectate n modul live, i de
obicei ofer detalii limitate cu privire la incidentul investigat. De obicei, acest tip de analiz
permite nelegerea nivelului de impact a unui atac cibernetic.
8 / 10
n cadrul acestei etape, n funcie de tipul de incident investigat (atac web, infecii malware,
etc.) se vor putea realiza analize forensics suplimentare pentru identificarea de artefacte care pot
aduce un plus de informaii cu privire la atacator sau motivaia acestuia. De exemplu se vor
extinde aciunile specifice analizei forensics menionate anterior n scopul identificrii unor
stringuri scrise ntr-o anumita limba, caractere specifice unui anumit dialect, nume de persoane i
pattern-uri n derularea atacului, entitile care au nregistrat domeniile/IP-urile utilizate n atac,
etc.
1. Referine
Mandia, K 2014 -Incident Response and computer forensics, 3rd edition Jason T.
Luttgens, Matthew Pepe, Kevin Mandia, Mc Graw Hill Education
SANS Institute, 2014 - http://www.sans.org/reading-room/whitepapers/incident/incident-handlershandbook-33901, accesat 15 octombrie
9 / 10
Aciune
Utilitare gratuite
Utilitare ce necesita
subscripie
Echipamente hardware
Crearea/imple
mentarea
indicatorilor de
compromitere
Encase Forensic
Colectare
probe
electronice
Analiza
Incident
Analiza
malware
SIFT Workstation(SANS),
WireShark, Network Minner,
Encase Forensic, FTK Access
ossec, OSint:
Data
virustotal.com, cyren.com,
trustedsource.org.
FakeNet, Process Monitor,
Process Explorer, RegShot,
PE Explorer, PEStudio,
IDA Pro, OlyDBG
ChuckooBox,
www.virustotal.com
10 / 10