Rispondendo a una violazione della sicurezza di rete

Non importa quanto siete attenti e non importa quanto sicuro i vostri sistemi sono, cose brutte accadono. Componenti elettronici falliscono. Il software può essere trovato per essere buggy. Le persone commettono errori. E, solo a volte, le persone fanno male con l'intento di fare danni alla rete. La natura può interessare se la rete funziona o no, troppo. Tutte queste situazioni richiedono che rispondere alla situazione di emergenza a portata di mano in modo rapido ed efficiente.

Chiamare in SWAT, um, squadra CERT

Il modo migliore per essere pronti ad una emergenza di sicurezza della rete è quello di avere un CERT in luogo CERT acronimo di Computer Emergency Response Team (o CIRT, Computer Incident Response Team) -. Una squadra di impostare a gestire le emergenze all'interno della propria organizzazione. In qualunque modo si scrive, questi sono i Ghostbusters di reti informatiche; trovano le cose cattive e sradicarlo.

Il modello di business di un Computer Emergency Response Team è quello di rispondere alle emergenze più o meno le stesse vie e vigili del fuoco polizia fanno. Essi rispondono, identificare la situazione, isolare la zona, e andare a lavorare. E perché non si sa mai quanto tempo ci vorrà per contenere una situazione di emergenza, che spesso lavorano lunghe ore difficili sotto stress tremendo.

CERT costituiti da persone altamente qualificate che variano nelle loro aree di competenza, ma sono cross-addestrati per coprire ogni evenienza. Questi i membri del team devono

  • Avere una conoscenza approfondita di networking, sistemi operativi e le applicazioni in modo che possano riconoscere quando qualcosa va storto.
  • Essere in grado di individuare i virus e le tecniche di eradicazione.
  • Sapere di hacking tecnica e di sistema vulnerabilità
  • Utilizzare molti strumenti di rete multipiattaforma. Alcuni di questi strumenti sono in realtà strumenti di hacking e altri sono utilizzati per scoprire le intrusioni di sistema ..
  • Essere in grado di lavorare in team e di essere fresco sotto pressione.
  • Essere in grado di comunicare con gli altri che non hanno più alto livello di comprensione come fanno. Questo è importante essere in grado di dare segnalazioni di stato e di raccomandare cambiamenti nella sicurezza per prevenire ulteriori eventi.

Poiché i membri del team CERT sono così altamente qualificati, una società non può permettersi di assumere un team CERT solo per sedersi intorno per mesi facendo nulla. I membri del team di solito hanno un lavoro a tempo pieno a fare qualcosa di diverso di risposta alle emergenze. Raramente mai detengono più di posizioni di sorveglianza o di gestione centrale. Tuttavia, quando si tratta di rispondere a una situazione critica, hanno bisogno di avere l'autorità e l'autonomia di prendere decisioni a livello esecutivo. La vita del vostro business può dipendere decisioni rapide.

Si dovrebbe avere una sezione in politiche e procedure di sicurezza documento che enuncia le modalità della vostra azienda per un CERT, indipendentemente se si è in-house o in outsourcing. I ruoli e le responsabilità devono essere chiaramente indicati e chi dovrebbe chiamare la squadra di azione e quando dovrebbero essere chiamati.

Rispondere in modo responsabile

La rete ha agito divertente ultimamente o avete visto alcune cose strane che ti fanno credere un intruso è in rete. Il primo punto all'ordine del giorno è Do not Panic! Chiama in CERT non appena possibile. Le probabilità sono che l'intruso è stato lì per un po 'di tempo, ma questa è solo la prima volta che hai notato. Gli intrusi sono come infestazioni roach - non si improvvisa. Il CERT prenderà il loro tempo e lavorare sistematicamente per sbarazzarsi del fastidio. E a meno che si accorgono che i file sui server vengono distrutte ad un ritmo allarmante, non si spegnerà la rete.

È necessario prendere alcune misure di base prima del CERT entra e inizia a lavorare. Questi passaggi possono variare leggermente in ordine, a seconda della situazione. Ad esempio, in alcuni casi, si può chiamare il CERT prima di avvisare i dirigenti della società, perché è più importante per ottenere il team di lavoro prima. In ogni caso, fare tutte le seguenti operazioni e non omettere nulla. In primo luogo, però -. Non spegnere o riavviare qualsiasi sistema Ciò potrebbe ostacolare il processo di recupero.

1. Avviare prendere appunti.

Non iniziare a digitare i comandi come un matto cercando di trovare l'intruso. Lasciate che il CERT farlo. E 'più importante a questo punto che si ottiene un nuovo notebook e scrivere tutto quello che hai notato e quello che hai fatto. E 'molto importante che si registra la data e l'ora di tutto. Questo notebook può diventare prova cruciale in giudizio successivi.

2. Notifica gestione superiore.

Non inviare messaggi di posta elettronica in quanto potrebbero rovesciarsi fuori l'intruso. Speriamo, si era preparato un call-fogli prima del tempo con i nomi ei numeri di telefono di coloro che hanno bisogno di sapere. Il modo più efficace di gestire la comunicazione è per voi di chiamare due persone e poi li chiamano il resto della lista. In caso contrario, si potrebbe passare ore al telefono spiegando la situazione più e più volte per decine di persone. Il tempo è prezioso e deve essere speso per l'emergenza - non a portata di mano-holding.

3. Chiamata in CERT.

Fate questo in silenzio e senza fanfare. Tu non vuoi il lavoro l'intera società a venire a un punto morto perché hai chiamato un allarme generale. Quando il CERT arriva, li informarli e poi lasciarli soli a fare il loro lavoro.

4. Applicare una politica di "necessità di sapere".

Non dire dipendenti qualcosa è a meno che hanno davvero bisogno di sapere. L'intruso può avere un complice all'interno, o potrebbe essere un falso allarme e non un'intrusione. Tu non vuoi pettegolezzi ottenere fuori dell'ufficio per i vostri clienti, la stampa, o vostri concorrenti. Si può sempre dire che la società sta vivendo "problemi di rete", come la maggior parte delle persone accetta questa spiegazione, senza ulteriori domande.

5. Qualcuno in società dovrebbe essere la persona punto nel caso in cui il pubblico viene a conoscenza della situazione.

Se si dispone di un reparto di PR, che è il loro lavoro. Se non si desidera una tempesta mediatica a portata di mano, in modo che solo la persona o le persone designate sono autorizzati a parlare con la stampa e clienti. Talvolta un incidente non è un caso a tutti ma una configurazione errata nella rete. Ricordare la stampa e l'opinione pubblica che le cose non sono sempre come sembrano.

6. Dare supporto al vostro CERT.

Probabilmente lavorano lunghe ore difficili senza interruzioni. Assicurarsi che ricevono pasti e bevande inviati in loro. (Questo può significare più appena Coca Cola e barrette di cioccolato.) Se sono necessari i membri del team di soccorso, li mise in allerta e impostare una pianificazione turni. Applicare il programma, anche. Molti membri del team saranno riluttanti a rinunciare ai loro posti, ma possono facilmente bruciare dopo un giorno o due. Se la squadra ha bisogno di più attrezzature come ricambio dischi e dispositivi di rete, ottenere rapidamente.

7. Rivolgersi al proprio ufficio legale.

Fate loro sapere la situazione. Possono decidere se le leggi sono state rotte. Se si consigliano di contattare le forze dell'ordine, farlo.

8. briefing condurre e riunioni dopo il clean-up.

Dite a tutti che cosa è successo e perché e cosa si può / ha / farà per assicurarsi che non accada di nuovo. Non puntare il dito; imparare dai propri errori.

Non commettere errori che questo sarà un affare stressante per molti e che gli animi si può e flare. Non cadere nella trappola di ottenere così coinvolti nel momento in cui si dimentica quello che dovresti fare.