Task 1

Un eveniment este o acțiune desfășurată în cadrul unei rețele (sau sistem) care ar putea periclita
siguranța acestuia. Activități precum tentative de autentificare, primirea unor email-uri suspicioase
sau întreruperea funcționării sistemului sunt considerate evenimente dacă nu produc daune
companiei. Aceste activități nu sunt întotdeauna cauzate de agenți rău intenționați, putând fi
declanșate de factori inofensivi. Un eveniment devine incident atunci când încalcă politicile de
securitate și poate crea pagube. Spre exemplu, în urma unei tentative de autentificare o persoană
neautorizată reușește să acceseze informații private, un angajat transmite informații confidențiale
către un email suspicios sau în urma întreruperii funcționării sistemului se identifică daune asupra
echipamentelor. În cazul companiei Workmark analistul a identificat o creștere bruscă a traficului din
rețea, o parte din pachetele recepționate fiind blocate de firewall. Acest fenomen indică o încercare
de scanare a porturilor pentru a identifica posibile vulnerabilități și este considerat un incident.

Task 2
Conform ISACA Cybersecurity Fundamentals Study Guide etapele unei soluții de combatere a unui
incident presupune stabilirea unor pași de care se v-a ocupa o echipă responsabilă cu soluționarea
acestor evenimente. În general acești pași presupun:

- Pregătirea unui plan de rezolvare a incidentului și atribuirea responsabilităților;

- Dezvoltarea abilităților de detectare și analizare a incidentelor pentru a face posibilă
identificarea cât mai precisă a tipului de incident într-un timp cât mai scurt;
- Dezvoltarea abilităților de a identifica un potențial adversar;
- Ameliorarea impactului incidentului prin reducerea pierderilor și restabilirea cât mai rapidă a
modului normal de lucru;
- Identificarea vulnerabilităților care au dus la manifestarea incidentului și securizarea
acestora;

A. In faza de pregatire este necesara desfasurarea unor activitati care ii vor pregati pe cei din
Security Operations Team in momentul intampinarii unui incident. Aceste activitati presupun:
- stabilirea politicilor de securitate care vor identifica un posibile incidente;
- evaluarea riscurilor si identificarea celor mai valoroase bunuri si in consecinta pregatirea
pentru protejarea acestora;
- pregatirea instrumentelor, a procedurilor si a tehnologiilor necesare si instruirea si stabilirea
responsabilitatilor pentru analistii din echipa;
- testarea planului creat prin parcurgerea diverselor scenarii si actualizarea frecventa a
acestuia conform noilor riscuri identificate in industrie;
Incidentul din compania Workmark consta in compromiterea sistemului prin acces neautorizat
si infectarea acestuia cu un malware. Pregatirea pentru un asemenea eveniment ar putea consta
in pregatirea unor instrumente de detectare si eventual blocare a programelor daunatoare. De
asemenea trebuie prevazut in plan cum trebuie procedat in situatia in care un malware nu este
detectat de antivirus si cum se restrictioneaza posibilitatile unui cont compromis. Iar pe baza
acestor reguli ar trebui instruita echipa si ulterior testata eficienta planului.

B. Etapa de detectare si analiza presupune identificarea incidentului. Acest lucru se poate

realiza analizand in detaliu informatiile detinute, eficienta acestei activitati bazandu-se pe
caliatea acestora. Odata cu clasificarea evenimentului drept incident trebuie determinat
obiectivul atacului, vulnerabilitatile care au fost exploatate si daunele produse, pe baza
acestora realizandu-se activitatile de recuperare a sistemului din urmatoarea etapa.
In cazul incidentului din Workmark trebuie verificat sistemul antivirus, fisierele de logare,
programul SIEM si trebuie consultate persoanele care au acces la contul compromis. Intrucat
prin exploatarea portului 445, unul dintre porturile scanate de atacator, se pot accesa si
modifica datele, ar trebui verificate si securizate host-urile vizate.

C. Primul lucru care trebuie facut dupa identificarea incidentului este intreruperea actionarii
acestuia si prevenirea viitoarelor daune. Izolarea echipamentelor afectate se poate realiza
prin deconectarea acestora de la retea si continuarea proceselor folosind servere de rezerva
pana la inlaturarea malware-ului, in faza de eradicare, sau prin aplicarea unor solutii
provizorii de izolare care permit continuarea folosirii echipamentelor concomitent cu
securizarea acestora. Ambele metode presupun identificarea si eliminarea pericolelor si
prevenirea acestora pe viitor. Dupa imbunatatirea sistemului acesta este pus din nou in
functiune monitorizandu-se o perioada randamentul acestuia pentru a se sesiza eventuale
neregularitati.

D. In ultima etapa, dupa rezolvarea incidentului, se analizeaza imaginea de ansamblu a

intregului episod. Pe baza tuturor cunostintelor acumulate se identifica din nou obiectivul
incidentului, cum a fost eliminat, cum s-a reparat sistemul, cum a lucrat echipa, respectiv in
ce situatii au fost sau nu eficienti.

E. In urma rezolvarii unui incident se pot identifica aspecte relevante pentru fiecare etapa din
faza de pregatire. Pe baza experientei si a informatiilor dobandite se poate realiza:

- Actualizarea politicilor de securitate, daca cele actuale nu au prevazut tipul incidentului

intampinat;
- Recunoasterea unor noi riscuri si vulnerabilitatile din companie predispuse la acestea;
- Identificarea tehnologiilor si abilitatilor care trebuie detinute;
- Reorganizarea echipei si a rolurilor;