Documente Academic
Documente Profesional
Documente Cultură
Un eveniment este o acțiune desfășurată în cadrul unei rețele (sau sistem) care ar putea periclita
siguranța acestuia. Activități precum tentative de autentificare, primirea unor email-uri suspicioase
sau întreruperea funcționării sistemului sunt considerate evenimente dacă nu produc daune
companiei. Aceste activități nu sunt întotdeauna cauzate de agenți rău intenționați, putând fi
declanșate de factori inofensivi. Un eveniment devine incident atunci când încalcă politicile de
securitate și poate crea pagube. Spre exemplu, în urma unei tentative de autentificare o persoană
neautorizată reușește să acceseze informații private, un angajat transmite informații confidențiale
către un email suspicios sau în urma întreruperii funcționării sistemului se identifică daune asupra
echipamentelor. În cazul companiei Workmark analistul a identificat o creștere bruscă a traficului din
rețea, o parte din pachetele recepționate fiind blocate de firewall. Acest fenomen indică o încercare
de scanare a porturilor pentru a identifica posibile vulnerabilități și este considerat un incident.
Task 2
Conform ISACA Cybersecurity Fundamentals Study Guide etapele unei soluții de combatere a unui
incident presupune stabilirea unor pași de care se v-a ocupa o echipă responsabilă cu soluționarea
acestor evenimente. În general acești pași presupun:
A. In faza de pregatire este necesara desfasurarea unor activitati care ii vor pregati pe cei din
Security Operations Team in momentul intampinarii unui incident. Aceste activitati presupun:
- stabilirea politicilor de securitate care vor identifica un posibile incidente;
- evaluarea riscurilor si identificarea celor mai valoroase bunuri si in consecinta pregatirea
pentru protejarea acestora;
- pregatirea instrumentelor, a procedurilor si a tehnologiilor necesare si instruirea si stabilirea
responsabilitatilor pentru analistii din echipa;
- testarea planului creat prin parcurgerea diverselor scenarii si actualizarea frecventa a
acestuia conform noilor riscuri identificate in industrie;
Incidentul din compania Workmark consta in compromiterea sistemului prin acces neautorizat
si infectarea acestuia cu un malware. Pregatirea pentru un asemenea eveniment ar putea consta
in pregatirea unor instrumente de detectare si eventual blocare a programelor daunatoare. De
asemenea trebuie prevazut in plan cum trebuie procedat in situatia in care un malware nu este
detectat de antivirus si cum se restrictioneaza posibilitatile unui cont compromis. Iar pe baza
acestor reguli ar trebui instruita echipa si ulterior testata eficienta planului.
C. Primul lucru care trebuie facut dupa identificarea incidentului este intreruperea actionarii
acestuia si prevenirea viitoarelor daune. Izolarea echipamentelor afectate se poate realiza
prin deconectarea acestora de la retea si continuarea proceselor folosind servere de rezerva
pana la inlaturarea malware-ului, in faza de eradicare, sau prin aplicarea unor solutii
provizorii de izolare care permit continuarea folosirii echipamentelor concomitent cu
securizarea acestora. Ambele metode presupun identificarea si eliminarea pericolelor si
prevenirea acestora pe viitor. Dupa imbunatatirea sistemului acesta este pus din nou in
functiune monitorizandu-se o perioada randamentul acestuia pentru a se sesiza eventuale
neregularitati.
E. In urma rezolvarii unui incident se pot identifica aspecte relevante pentru fiecare etapa din
faza de pregatire. Pe baza experientei si a informatiilor dobandite se poate realiza: