Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	206/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 202 203 204 205 206 207 208 209 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

245
и
спользование

киберразвеДки

Для

расслеДования

поДозрительной

Деятельности
На этом этапе больше нет сомнений в том, что использование киберразвед-
ки, чтобы помочь своей системе обнаружения, является крайне необходимым.
Теперь ответьте, как вы используете эту информацию при реагировании на
инцидент в области безопасности? Хотя Синяя команда работает главным об-
разом над системой защиты, она тем не менее сотрудничает с группой реа-
гирования на компьютерные инциденты, предоставляя правильные данные,
которые могут помочь найти основную причину проблемы. Если бы мы ис-
пользовали предыдущий пример из Центра безопасности, то могли бы просто
передать этот результат поиска. Этого было бы вполне достаточно. Но знание
системы, которая была скомпрометирована, – это не единственная цель реа-
гирования на инцидент.
В конце расследования вы должны дать ответы как минимум на следующие
вопросы:

Какие системы были скомпрометированы?

Где началась атака?

Какая учетная запись пользователя была использована, чтобы начать
атаку?

Имело ли место дальнейшее распространение по сети?
– Если да, то какие системы участвуют в этом распространении?

Имело ли место повышение привилегий?
– Если да, то какая учетная запись была скомпрометирована?

Была ли предпринята попытка связаться с командно-контрольным сер-
вером?

Если да, то была ли она успешной?
– Если да, было ли что-либо скачано оттуда?
– Если да, было ли что-либо отправлено туда?

Была ли предпринята попытка избавиться от улик?
– Если да, была ли эта попытка успешной?
Это некоторые ключевые вопросы, на которые вы должны ответить в конце
расследования, и это может помочь вам по-настоящему приблизиться к делу
и быть уверенным, что угроза была полностью локализована и удалена из среды.
Вы можете использовать функцию расследования Центра безопасности, что-
бы ответить на большинство из этих вопросов. Эта функция позволяет видеть
путь атаки, задействованные учетные записи пользователей, скомпромети-
рованные системы и осуществленные вредоносные действия. В предыдущей
главе вы узнали о функции

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 202 203 204 205 206 207 208 209 ... 272