Proiect SSI

1. Detail the difference between an event and an incident for the junior
analyst. Describe ways to determine if this is, in fact, an incident or just an
event.

Un security event reprezintă orice întâmplare observabilă care este relevantă

securității informațiilor. Acestea pot include tentative de atac sau lipsuri care expun
vulnerabilități de securitate.
Un security incident este un security event în urma căruia rezultă pagube sau
care presupune un risc la adresa securității informațiilor și a operațiunilor.
Un security event este orice eveniment cu potețiale implicații în ceea ce privește
securitatea. Un e-mail spam de exemplu, este considerat un security event deoarece ar
putea să conțină link-uri către malware.
Dacă evenimentele sunt, în general, lucruri care nu primesc atenție umană, fiind
doar catalogate și de cele mai multe rezolvate de sisteme automatizate, incidentele
rezultă de cele mai multe ori în pagube precum pierderea datelor.

2. Describe the appropriate steps within each of the incident response phases
above.
a. What should have been included in the preparation phase to prepare for an
incident like this?
 Trebuie să ne asigurăm că fiecare angajat este antrenat corespunzător și
știe cum să răspundă în cazul unui astfel de incident.
 Trebuie să dezvoltăm scenarii de răspuns pentru posibilele incidente și să
desfășurăm cu regularitate simulări pentru a evalua răspunsul sistemului
și al angajaților.
 Trebuie să ne asigurăm ca planurile de răspuns în caz de incident
(antrenamentele, implementarea, resursele hardware și software, etc.)
sunt aprobate și sustenabile din punct de vedere financiar.
 b. Which information should be gathered in the detection and analysis phase,
and who should be contacted?

 Când a avut loc?

 Cine a descoperit incidental?
 Cum a fost incidentul descoperit?
 Care este sursa incidentului?
 Ce zone au fost afectate de atac?

Computer Security Incident Response Team (CSIRT) trebuie contactat cât mai

repede deoarece ei au responsabilitatea de a coordona și de a susține răspunsul în
cazul unui incident sau eveniment de securitate.

c. Describe the importance of the containment, eradication and recovery steps.

Scopul etapei de containment este să limiteze daunele pe care atacatorul le

poate provoca și să păstreze dovezi. De multe ori, acest pas include și colectarea de
date forensice care urmează apoi a fi folosite în desfășurarea demersurilor legale.

În timpul etapei de eradicare este identificată și eradicată cauza principală a

incidentului. După ce sistemul este “curățat” și verificat în scopul identificării unor noi
vulnerabilități, urmează faza de recuperare (recovery), în care serviciile pe care
sistemul le oferea sunt puse din nou în funcțiune.

d. What sort of post-incident activity should be conducted and sho should be

notified?

Activitatea post-incident ar trebui să constea în documentarea detaliată a

rezultatelor investigației și a pașilor întreprinși în realizare acesteia. Atât incidentul în
sine cât și procesele și performanța echipei care au răspuns la problemă  trebuiesc
examinate ca parte a procesului continuu de îmbunătațire a performanțelor.

Mangement-ul și departamentul juridic trebuiesc evident să fie anunțate în

legătură cu evenimentul, însă având în vedere că atacul a fost perpetuat prin
intermediul unui malware nedetectat de soluția antimalware utilizată de companie și
care scana porturi cunoscute de Windows, incidentul ar trebui raportat și furnizorului
soluției antimalware si companiei Microsoft pentru identificarea unor eventuale
vulnerabilități în software-ul oferit.

e. Referencing the iterative nature of incident response, what information should

be fed back into the preparation stage?

Orice ce informație nouă legată de natura sau de scopul atacului obținută în

timpul fazelor de detecție, containment sau chiar eradicare ar trebui utilizată în reluarea
primei etape
(preparation stage). Astfel, planul de răspuns formulat inițial poate fi actualizat în așa fel
încât să corespundă noilor cerințe.