МИНИСТЕРСТВО ПО РАЗВИТИЮ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И КОММУНИКАЦИЙ РЕСПУБЛИКИ УЗБЕКИСТАН
“КАРШИНСКИЙ ФИЛИАЛ ТАШКЕНТСКОГО УНИВЕРСИТЕТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ИМЕНИ
МУХАММАДА АЛ-ХОРАЗМИ”
“ ТЕЛЕКОММУНИКАЦИОННЫЙ ТЕХНОЛОГИИ И ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАНИЯ ”
ФАКУЛЬТЕТЬ
По предмету:« Инциденты атака и реакции на них»
Группа: АХ 12-17
Подготовил Сайидалиев .Н
Принял Рустамов А.
Карши-2020
Тема: Прецедентный анализ инцидентов информационной безопасности.
Инциденты информационной безопасности могут иметь различные источники происхождения. В идеале, организация должна быть готова к любым проявлением вредоносной активности. На практике это неосуществимо. Служба реагирования должна классифицировать и описать каждый инцидент, произошедший в организации, а также классифицировать и описать возможные инциденты, предположения о которых были сделаны на основе анализа рисков. Для расширения тезауруса о возможных угрозах и связанных с ними возможных инцидентов хорошей практикой является использование постоянно обновляемых открытых источниках сети Internet.
Признаки инцидента информационной безопасности
Предположение о том, что в организации произошёл инцидент информационной безопасности, должно базироваться на трёх основных факторах:
сообщение об инциденте информационной безопасности поступают одновременно из нескольких источников (пользователи, IDS, журнальные файлы)
IDS сигнализируют о множественном повторяющемся событии
Анализ журнальных файлов автоматизированной системы даёт основание для вывода системным администраторам о возможности наступления события инцидента
В общем случае, признаки инцидента делятся на две основные категории, сообщения о том инцидент происходит в настоящий момент и сообщения о том, что инцидент, возможно, произойдёт в скором будущем. Ниже перечислены некоторые признаки совершающегося события:
IDS фиксирует переполнение буфера
уведомление антивирусной программы
крах WEB – интерфейса
пользователи сообщают о крайне низкой скорости при попытке выхода в Internet
системный администратор фиксирует наличие файлов с нечитабельными названиями
пользователи сообщают о наличие в своих почтовых ящиках множества повторяющихся сообщений
хост производит запись в журнал аудита об изменении конфигурации
приложение фиксирует в журнальном файле множественные неудачные попытки авторизации
администратор сети фиксирует резкое увеличение сетевого трафика, и.т.д.
Примерами событий, которые могут послужить источниками информационной безопасности могут служить:
журнальные файлы сервера фиксируют сканирование портов
объявление в СМИ о появлении нового вида эксплойта
открытое заявление компьютерных преступников об объявлении войны вашей организации и.т.д.
Do'stlaringiz bilan baham: |