UNIVERSITATEA ALEXANDRU IOAN CUZA DIN IAI

FACULTATEA DE ECONOMIE I ADMINISTRAREA AFACERILOR

SPECIALIZAREA INFORMATIC ECONOMIC

Proiect
Securitatea Sistemelor
Informaionale

Coordonator:
Profesor dr. Munteanu Adrian
Studeni:
Pele Bianca Ioana
31040701SL11182
Zavate Ciprian

Anul 2016

WORKMARK: CYBERSECURITY
INCIDENT RESPONSE CASELET
1.Detail the difference between an event and an incident for the junior analyst. Describe
ways to determine if this is, in fact, an incident or just an event:
Un eveniment este o schimbare observat la comportamentul normal al unui sistem,
mediu, proces, flux de lucru sau o persoan.
Un incident este un eveniment cauzat de om ru intenionat, care duce la (sau poate duce
la) o perturbare semnificativ a activitii. Ceea ce trebuie remarcat este faptul c un eveniment
poate deveni un incident, dar nu i viceversa.
Urmtoarele exemple sunt cteva scenarii pentru a demonstra logica din spatele
distinciei dintre incidente i evenimente.
1.ATACURI DE COD RU INTENIONAT
Eveniment -.Un utilizator raporteaz c l-ar fi lovit un anumit virus.
Potenial de incidente - Sistemul lor prezint comportamente tipice pentru acest virus special.
2. REFUZUL RESURSELOR(NEACCESAREA DATELOR)
Eveniment - Un utilizator raporteaz ca nu poate avea acces la un serviciu.
Potenial de incidente - Muli utilizatori raporteaz ca nu pot avea acces la un serviciu.
Pentru a concluziona valoarea celor doi termeni sau celor dou procese diferite putem
meniona faptul c monitorizarea unui eveniment nu este doar pentru a detecta un lucru gre it
ci i pentru a obine asigurarea faptului c lucrurile merg bine. Atunci cnd evenimentele
raportate indica un lucru cu adevarat greit atunci are loc un incident i solicita procesul de
gestionare a incidentelor.
Pentru a determina dac evenimentul ar trebui clasificat drept un incident se rspunde la
aceste ntrebri, care ar putea oferi o imagine mai clar a modului de a clasifica problema:
Este un risc pentru integritatea datelor?
Este un risc pentru disponibilitatea resursei?
Este un risc pentru confidenialitatea datelor?
Este activitatea anormal? Este o nclcare mpotriva politicilor de securitate ai companiei?
n cazul n care rspunsul la una din ntrebrile de mai sus este da, atunci probabil
evenimentul este un incident .
2.Describe the appropriate steps within each of the incident response phases above.
2.1.Prepararea presupune pregtirea intrumentelor i instruirea personalului nainte de a avea loc
un incident.
2.2 Identificarea: Identificarea incidentelor n detaliu, si anume: semnele care indic natura i
scopul incidentului, data cnd s-a constatat, sursa exact a incidentului (locaia serverului), siteurile la care se ncearca conectarea, impactul pe care l are asupra organizaiei i trebuie contactat
att centrele de date ct i SEIM.

2.3 Izolarea: Se nchide imediat sistemul pentru a preveni posibile pagube colaterale. Acest lucru
poate nsemna revocarea conturilor de utilizator, blocarea accesului la firewall-ul sau actualizarea
regulilor antivirus pentru a detecta codul ru intenionat.
2.4. Eradicarea: Elimin codul ru intenionat, contul neautorizat, sau angajatul care a cauzat
incidentul.
2.5. Recuperare: Se asigura c sistemul ndeplinete standardele companiei sau a liniilor de baz,
nainte de a-l pune in functiune. Se continu monitorizarea sistemului pentru a detecta orice
comportament aberant astfel incat s fie sigur c incidentul a fost pe deplin rezolvat.
a) What should have been included in the preparation phase to prepare for an incident like
this?
n etapa de pregtire pentru un incident,companie ar trebui s ofere educaie i formare
personalului desemnat ca punct de contact ( POC) i altor angajai implicai n gestionarea
incidentelor i a investigaiilor, n conformitate cu rolurile i responsabilitile fiecruia.
Instruirea include tehnici de rspuns, tehnici de investigare, tehnici de interviu i de analiz .
b) Which information should be gathered in the detection and analysis phase, and who
should
be
contacted?
La etapa de detectare i de analiz, informaiile colectate sunt informaii referitoare la cum s-a
nclcat securitatea respectiv regulile de utilizare a computerului. Mai mult dect att , dup ce
s-a confirmat faptul c a fost un incident, se analizeaza impactul incidentului asupra sistemului,
apoi se determina aria de distribuie a impactului pentru a stabili dac incidentul este de grad
superior, n acest caz trebuind abordat prin localizarea zonei afectate, iar in cazul incidentelor
obinuite pot fi tratate rapid, fr a fi nevoie localizarea zonei incidentului .
Trebuie contactat SEIM i CISO.
c) Describe the importance of the containment, eradication, and recovery steps.
Etapa de izolare se efectueaza pentru a preveni deteriorarea continu a sistemului atacat.
Prin izolare fiecare incident va fi localizat, astfel nct s nu provoace un impact suplimentar
asupra sistemului sau dispozitivului. Dup aceas etap are loc eradicarea printr-o analiza mai
profund a probelor care au fost reinute. Odata cu identificarea rapid a incidentului i n mod
corespunztor va ajuta foarte mult compania n faza de recuperare. Se efectueaza recuperarea
eficient a sistemelor informatice afectate de incident i se determin dac acel sistem este n
msur s ruleze din nou.
d) What sort of post-incident activity should be conducted and who should notified.
- Exact ce s-a ntmplat, i n ce moment?
- Ct de bine s-a descurcat personalului i managementul?
- Au fost urmate procedurile din documentaie?
- Au fost ele adecvate?
- Au fost orice msuri sau aciuni ntreprinse care ar putea fi inhibat de recuperare?
- Cum v-a reaciona personalul i conducerea data viitoare cnd are loc un incident similar?
- Ce instrumente suplimentare sau resurse sunt necesare pentru a detecta, analiza i atenuarea
incidentelor viitoare?
Trebuie notificat att SEIM ct i CISO.
e) Referencing the iterative nature of incident response, what information should be fed
back into the preparation stage?

Informaiile ce trebuie trimise la starea de preparare sunt etapele i rezultatele care au fost
obinute n tratarea incidentului, precum impactul i costul incidentului asupra reelei. Toate
msurile luate pe parcursul ciclului de rspuns la incident ar trebui revizuite pentru a vedea
eventualele mbuntairi ce pot fi aduse.