Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Альянс «Пять глаз» представил руководство для организаций по реагированию на инциденты

10/09/20

5 eyesАльянс «Пять глаз» (Five Eyes), в который входят спецслужбы США, Великобритании, Канады, Австралии и Новой Зеландии, опубликовал руководство для организаций по обнаружению вредоносной активности и реагированию на инциденты безопасности.

Согласно руководству, процедуру реагирования на инцидент лучше всего начинать со сбора артефактов, логов и данных для последующего анализа. Далее рекомендуется предпринимать шаги по блокировке атаки таким образом, чтобы злоумышленники не знали, что их присутствие в скомпрометированной сети было замечено.

Авторы руководства рекомендуют организациям, ставшим жертвами кибератак, обратиться за помощью к сторонним ИБ-компаниям, которые не только окажут им необходимую техническую поддержку, но также смогут полностью удалить злоумышленников из сети и предотвратить проблемы, которые могут возникнуть в результате дальнейших взломов.

Технический подход к выявлению вредоносной активности включает в себя поиск индикаторов компрометации (IOC), анализ трафика (сетевого и хостов), анализ данных с целью обнаружения повторяющихся шаблонов и выявление аномалий.

Во время изучения сети или анализа хоста рекомендуется обращать внимание на самые разные артефакты, в том числе на DNS-трафик, RDP-, VPN- и SSH-сеансы, вредоносные процессы, новые приложения, ключи реестра, открытые порты, установленные подключения, учетные данные пользователей, команды PowerShell и пр.

Принимая ответные меры против кибератаки, организации должны избегать распространенных ошибок, например, не предпринимать никаких действий сразу же после обнаружения инцидента (это может подсказать злоумышленнику, что его раскрыли), не восстанавливать систему до того, как были собраны и изолированы все необходимые для расследования артефакты, не получать доступ и не блокировать инфраструктуру злоумышленников, не сбрасывать пароли «на всякий случай» и не удалять записи реестра. Распространенной ошибкой также является не предпринимать никаких мер по устранению первоначальной причины кибератаки.

Для предотвращения атак по самым популярным векторам рекомендуется ограничение или отключение FTP, Telnet и неодобренных VPN-сервисов, удаление неиспользуемых служб и систем, отправка скомпрометированных хостов в карантин, закрытие необязательных портов и протоколов, отключение инструментов для удаленного администрирования сети, регулярная смена пролей и устранение уязвимостей и пр.

По мнению авторов руководства, сегментация сети, физическая изоляция чувствительных данных, следование принципу наименьших привилегий и использование безопасных конфигураций по всем сегментам и уровням сети должны уменьшить ущерб в случае кибератаки.

Темы:КиберзащитаОтрасльинструкцииспецслужбы
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...