115.93K
Category: softwaresoftware
Similar presentations:
Безопасность и анализ конечных точек. Лекция 11
Безопасность и анализ конечных точек. Лекция 11
Аудит безопасности
Аудит безопасности
Построение системы информационной безопасности многофилиального банка
Построение системы информационной безопасности многофилиального банка
Методы и средства анализа уязвимостей
Методы и средства анализа уязвимостей
Информационная безопасность в телекоммуникационной компании “МегаФон”
Информационная безопасность в телекоммуникационной компании “МегаФон”
Анализ программно-аппаратных средств
Анализ программно-аппаратных средств
Информационная безопасность технологических систем. Решения компании InfoWatch
Информационная безопасность технологических систем. Решения компании InfoWatch
История развития систем защиты информации
История развития систем защиты информации
Уразливість і оцінка ризиків в системі інтернету речей
Уразливість і оцінка ризиків в системі інтернету речей
Системный анализ предметной области принятия решений
Системный анализ предметной области принятия решений

Анализ инцидентов

1.

Анализ инцидентов.
1 / 24

2.

Вопросы
1. Основные понятия.
2. Классификация инцидентов ИБ.
3. Основные предпосылки
возникновения инцидентов.
4. Управление инцидентами ИБ.
5. Расследование инцидентов ИБ.
6. Примеры расследования и анализа
инцидентов ИБ.
2 / 24

3.

Вопросы
1. Основные понятия
3 / 24

4.

Основные понятия
Уязвимость — это недостаток в программном
обеспечении, оборудовании или процедуре, который
может предоставить атакующему возможность
доступа к компьютеру или сети и получения
несанкционированного доступа к информационным
ресурсам.
Угроза — это потенциальная опасность эксплуатации
уязвимости для информации или системы.
4 / 24

5.

Основные понятия
Риск — вероятностная оценка реализации угрозы,
описывающая вероятность наступления события и
размер ожидаемого ущерба, который может понести
владелец информационного ресурса, в случае
успешной реализации угрозы.
Воздействие (атака) — реализованная угроза,
приводящая к нанесению ущерба в связи с
действиями источника угрозы.
Контрмеры (или защитные меры) — это меры,
внедрение которых позволяет снизить уровень
потенциального риска.
5 / 24

6.

Основные понятия
Событие ИБ — идентифицированное появление
определенного состояния системы, сервиса или сети,
указывающего на возможное нарушение политики ИБ
или отказ защитных мер, или возникновение
неизвестной ранее ситуации, которая может иметь
отношение к безопасности.
Инцидент ИБ — любое непредвиденное или
нежелательное событие, которое может нарушить
деятельность или ИБ.
6 / 24

7.

Основные понятия
Киберинцидент — событие, которое фактически или
потенциально угрожает конфиденциальности,
целостности, подлинности, доступности и
сохранности информации, а также представляет
собой нарушение (угрозу нарушения) политик
безопасности.
Кибератака — целенаправленное воздействие
программных и (или) программно- аппаратных средств
на объекты информационной инфраструктуры, сети
электросвязи, используемые для организации
взаимодействия таких объектов, в целях нарушения и
(или) прекращения их функционирования и (или)
создания угрозы безопасности обрабатываемой
такими объектами информации;
7 / 24

8.

Вопросы
2. Классификация инцидентов ИБ.
8 / 24

9.

Классификация инцидентов ИБ
9 / 24

10.

Классификация инцидентов ИБ
утрата услуг, оборудования или устройств;
системные сбои или перегрузки;
ошибки пользователей;
несоблюдение политики или рекомендаций по ИБ;
нарушение физических мер защиты;
неконтролируемые изменения систем;
сбои программного обеспечения и отказы технических
средств;
нарушение правил доступа.
10 / 24

11.

Классификация инцидентов ИБ
Блокирование доступа к информации
Распространение вредоносного программного
обеспечения
Несанкционированный доступ, модификация,
похищение информации
Сетевые атаки
11 / 24

12.

Вопросы
3. Основные предпосылки
возникновения инцидентов.
12 / 24

13.

Основные предпосылки
возникновения инцидентов
1. Слабые парольные политики, отсутствие защиты от
подбора пароля (капчи, двухуровневая аутентификация,
установка правил сложности пароля).
2. Установка логинов и паролей (особенно
администраторы) на рабочие учетные записи отличные от
учеток для личного пользования любых сервисов и
сайтов.
3. Несменяемые пароли.
4. Использование нешифрованных протоколов
передачи данных.
5. Использование устаревших и неподдерживаемых
протоколов и сервисов.
13 / 24

14.

Основные предпосылки
возникновения инцидентов
6. Несвоевременная установка обновлений,
патчей и фиксов.
7. Не проводится замена оборудования, которое
больше не поддерживается поставщиком, и на
которое, соответственно, больше не выпускаются
обновления ПО и патчи безопасности. Лучше всего
менять оборудование до того как закончится
поддержка производителя.
8. Оставляют стандартные настройки и пути
(особенно к админке) движков, платформ, устройств.
9. Не проводится инвентаризация технических
средств, ПО и активов.
14 / 24

15.

Основные предпосылки
возникновения инцидентов
Рекомендации по соблюдению «цифровой гигиены» и
организации безопасной работы в удаленном режиме
https://cert.by/?p=1572
Распространенные проблемы и ошибки, приводящие к
компрометации интернет-ресурсов
https://cert.by/?p=1897
https://cert.by/?p=1942
15 / 24

16.

Вопросы
4. Управление инцидентами ИБ.
16 / 24

17.

Управление инцидентами ИБ
ISO/IEC 27035-1:2016
ISO/IEC 27035-2:2016
ISO/IEC 27035:2011
17 / 24

18.

Управление инцидентами ИБ
ЦЕЛИ (один из возможных вариантов списка):
гарантировать целостность критически важных систем;
сохранить и восстановить данные;
сохранить и восстановить сервисы;
выяснить, почему инцидент ИБ стал возможен;
предотвратить развитие атак и будущие инциденты ИБ;
избежать нежелательной огласки информации об
инциденте ИБ;
найти виновников инцидента ИБ;
наказать нарушителей ПИБ организации.
18 / 24

19.

Управление инцидентами ИБ
Виды деятельности:
Обнаружение и регистрация
Оценка, классификация и приоритезация
Сохранение информации
Всестороннее исследование
Разрешение и закрытие
Извлечение уроков
Подготовка к усовершенствованию процесса управления
19 / 24

20.

Вопросы
5. Расследование инцидентов ИБ.
20 / 24

21.

Расследование инцидентов ИБ
Основные цели:
локализация и ликвидация последствий инцидентов
ИБ;
установление виновных лиц и их мотивации,
обеспечение возможности привлечения их к
ответственности.
21 / 24

22.

Расследование инцидентов ИБ
Виды деятельности:
сбор свидетельств и их анализ;
выявление виновных;
установление причин, давших возможность
инциденту произойти;
вынесение рекомендаций по принятию мер по
предотвращению инцидентов;
хранение и защита материалов расследования.
22 / 24

23.

Вопросы
6. Примеры инцидентов.
23 / 24

24.

СПАСИБО ЗА ВНИМАНИЕ!
24 / 24
English     Русский Rules