Respondendo a uma violação de segurança de rede

Não importa o quão cuidadoso você é e não importa o quão seguro seus sistemas são, coisas ruins acontecem. Componentes eletrônicos falhar. Software pode ser encontrado para ser buggy. Pessoas cometem erros. E, só às vezes, as pessoas fazem o mal com a intenção de causar danos à rede. A natureza pode afetar se sua rede funciona ou não, também. Todas estas situações exigem que você responder à emergência na mão rápida e eficiente.

Video: Curso de Segurança da Informação (módulo avançado) Aula 22 - Sniffer Wireshark

Chamar a SWAT, um, equipe CERT

A melhor maneira de estar preparado para uma emergência de segurança de rede é ter um CERT no lugar. CERT significa Computer Emergency Response Team (ou CIRT, Computer Incident Response Team) - uma equipe que você configurado para lidar com emergências dentro de sua própria organização. Independentemente da forma como você soletrá-lo, estes são os Ghostbusters de computador networks- eles encontram as coisas ruins e erradicá-la.

O modelo de negócio de uma Computer Emergency Response Team é responder às emergências da mesma maneira bombeiros e policiais fazem. Eles respondem, identificar a situação, de isolar a área, e ir trabalhar. E porque ninguém sabe quanto tempo vai demorar para conter uma situação de emergência, eles frequentemente trabalham horas longas, duras sob enorme stress.

CERT consistem de pessoas altamente qualificadas que variam em suas áreas de especialização, mas são cross-treinados para cobrir qualquer eventualidade. Esses membros da equipe precisam

  • Ter uma compreensão aprofundada da rede, sistemas operacionais e aplicativos para que eles possam reconhecer quando algo está errado.
  • Ser capaz de identificar vírus e técnicas de erradicação.
  • Saber hackers técnica e sistema de vulnerabilidades
  • Use muitas ferramentas de rede multi-plataforma. Algumas dessas ferramentas são realmente ferramentas de hacking e outros são usados ​​para descobrir intrusões do sistema ..
  • Ser capaz de trabalhar em equipe e ser legal sob pressão.
  • Ser capaz de comunicar com os outros que não têm um tão alto nível de compreensão como eles fazem. Isso é importante para ser capaz de dar relatórios de status e recomendar mudanças na segurança para evitar novas ocorrências.

Porque os membros da equipe CERT são tão altamente qualificada, uma empresa não pode dar ao luxo de contratar uma equipe CERT apenas para se sentar ao redor por meses a fio sem fazer nada. Os membros da equipe geralmente têm empregos a tempo inteiro fazendo algo diferente de resposta a emergências. Raramente eles já detêm mais de cargos de supervisão ou de gestão de meio. No entanto, quando eles estão respondendo a uma situação crítica, eles precisam ter a autoridade e autonomia para tomar decisões de nível executivo. A vida de seu negócio pode depender de decisões rápidas.

Você deve ter uma seção em sua políticas e procedimentos de segurança documento que explicita as modalidades da sua empresa para uma CERT, independentemente se é em casa ou terceirizado. Os papéis e responsabilidades devem ser claramente indicado, assim como quem deve chamar a equipe para a ação e quando eles devem ser chamados.

respondendo de forma responsável

Sua rede tem sido agindo de forma engraçada ultimamente ou você já viu algumas coisas estranhas que fazem você acreditar que um intruso está na sua rede. O primeiro item na agenda é Não se apavore! Chamadas em seu CERT, o mais rapidamente possível. As chances são de que o intruso tem sido lá por algum tempo, mas esta é apenas a primeira vez que você notou. Intrusos são como infestações barata - eles não acontecem apenas durante a noite. O CERT irá tomar o seu tempo e trabalhar sistematicamente para se livrar do incômodo. E a menos que eles percebem que os arquivos em seus servidores estão sendo destruídas a uma taxa alarmante, eles não desligará sua rede.

Você precisa tomar alguns passos básicos antes do CERT entra e começa a trabalhar. Estes passos podem variar um pouco, a fim de, dependendo da situação. Por exemplo, em alguns casos, você pode chamar o CERT antes de notificar os executivos da empresa porque é mais importante para obter a equipe de trabalho em primeiro lugar. Em qualquer caso, fazer todas as etapas a seguir e não omitir nada. Em primeiro lugar, no entanto - Não desligue ou reiniciar quaisquer sistemas.Isso pode dificultar o processo de recuperação.

1. começar a tomar notas.

Não comece digitando comandos como um louco tentando encontrar o intruso. Deixe o CERT fazer isso. É mais importante neste momento que você começa um novo caderno e anote tudo o que tenho notado eo que você fez. É muito importante que você gravar a data ea hora de tudo. Este notebook pode se tornar evidência crucial em processos judiciais posteriores.

2. Notificar a gerência superior.

Não envie mensagens de e-mail como eles poderiam ponta fora o intruso. Com sorte, você tinha preparado uma chamada folhas antes do tempo com os nomes e números de telefone de quem precisa saber. A maneira mais eficaz de lidar com a notificação é para você ligar duas pessoas e então eles têm que chamar o resto da lista. Caso contrário, você poderia passar horas no telefone explicando a situação mais e mais para dezenas de pessoas. O tempo é precioso e deve ser gasto com a situação de emergência - não na mão-holding.



3. Chamada em sua CERT.

Faça isso em silêncio e sem alarde. Você não quer o trabalho de toda a empresa para vir a um impasse, porque você chamou um alarme geral. Quando o CERT chega lá, informá-los e, em seguida, deixá-los sozinhos para fazer seus trabalhos.

4. Aplicar uma política de “necessidade de saber”.

Não diga empregados algo está acontecendo a menos que eles realmente precisa saber. O intruso pode ter um cúmplice dentro, ou poderia ser um alarme falso e não uma intrusão. Você não quer fofocas ficando fora do escritório para seus clientes, a imprensa, ou seus concorrentes. Você sempre pode dizer que a empresa está enfrentando “problemas de rede”, como a maioria das pessoas vai aceitar essa explicação, sem mais perguntas.

5. Alguém na empresa deve ser a pessoa ponto, caso o público tome conhecimento da situação.

Video: Curso de Segurança em Rede 13 - O Hacker saberia

Se você tem um departamento de relações públicas, que é o seu trabalho. Você não quer uma tempestade de mídia na mão, portanto, apenas a pessoa designada ou pessoas estão autorizados a falar com a imprensa e clientes. Às vezes, um incidente não é um incidente, mas um erro de configuração na rede. Lembre à imprensa e ao público que as coisas nem sempre são como parecem.

6. Dê apoio ao seu CERT.

Eles provavelmente trabalhar horas duras longas sem pausas. Certifique-se de que recebem refeições e bebidas enviadas para eles. (Isso pode significar mais do que apenas Cokes e barras de chocolate.) Se forem necessários os membros da equipe relevo, colocá-los em alerta e definir uma agenda de mudança. Fazer cumprir a programação, também. Muitos membros da equipe serão relutantes em desistir de seus postos, mas eles podem facilmente queimar depois de um dia ou dois. Se a equipe está na necessidade de mais equipamentos, tais como reposição unidades de disco e dispositivos de rede, levá-los rapidamente.

7. Contacte o seu departamento jurídico.

Deixe-os saber a situação. Eles podem decidir se as leis foram quebradas. Se eles aconselhá-lo a entrar em contato com a aplicação da lei, fazê-lo.

8. briefings conduta e reuniões após a limpeza.

Diga a todos o que aconteceu e por que eo que você pode / tem / vai fazer para se certificar de que isso não aconteça novamente. Não aponte fingers- aprender com seus erros.

Não se engane que este será um assunto estressante para muitos e que tempera pode e vai incendiar. Não caia na armadilha de ficar tão preso no momento em que você esquecer o que você deveria estar fazendo.


Publicações relacionadas
Como capacitar funcionários do seu bar para fazer as coisas direito
Membros da equipe de call center eo que eles fazem
Como obter o máximo benefício dos trabalhadores contingentes
Liderando uma equipe de alto desempenho
Como capacitar sua equipe de vendas para tomar decisões
Lidar com emergências no negócio de caminhão de alimentos
Como tomar inteligência competitiva na implementação
10 Sites para profissionais de rede
Sites amigável firewall de
Ferramentas de segurança do linux
10 Elementos de um plano de recuperação de desastres que interino
Invadir as noções básicas de segurança de rede
Segurança de rede: prevenção de intrusão e detecção de intrusão
Segurança de rede sem fio: a filtragem do endereço mac
Empresa de segurança dispositivo móvel: 10 maiores informações sites
Avaliar as vulnerabilidades com hacks éticos
Snmp varredura para evitar um hack de sua rede
Como compartilhar feedback da comunidade on-line com sua equipe
Como gerir os administradores em seu grupo ning
Como lançar um site de colaboração social