Короткие инструкции реагирования на инциденты ИБ

сегодня в 16:11
Короткие инструкции реагирования на инциденты ИБ
Информационная безопасность *IT-инфраструктура *
Из песочницы
Здесь, собраны короткие инструкции реагирования на инциденты ИБ . В материале не рассматриваются конкретные инструменты с помощью которых вы можете обнаружить данные угрозы – рассмотрен примерный порядок действий при таком обнаружении.

Локальная сеть

Взлом принтера или ИП телефона:

Отключить принтер от сети
Подключить локально
Сменить-установить  пароль
Перенастроить – выполнить сброс к заводским настройкам

При обнаружении – удалении трояна с компьютера:

Временная блокировка сетевого трафика на раб. станции до выяснения обстоятельств
Проведение полной антивирусной проверки (штатным антивирусом)
Проведение дополнительной антивирусной проверки(не штатным антивирусом)
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит  sysinternols 

При выявлении постороннего устройство (например рабочей станции):

Выявить ип адрес – ДНС имя
Просканировать nmap или другим сканером портов
Собрать информацию о станции с помощью других утилит либо средствами межсетевого экрана
Установить  местоположение устройства в ДМЗ
Если постороннее устройство находится в офисе выключить до выяснения обстоятельств – кто-то из сотрудников может принести свое. Изымать не рекомендую так, как может быть расценено как кража.
Если оно не из локальной сети заблокировать по ип и мак адресу (зависит от вас – можно ставить первым пунктом, но если станция физически не в защищаемом периметре – узнать о ней больше может не получится – злоумышленник может отключиться)

Сетевой червь:

Блокировка компьютера средствами межсетевого экрана либо отключение от локальной сети
Установления всех АРМ на которые был распространён черв – и  их блокировка сетевого соединения до удаления черве
Удаления сетевого червя
Проверка в изолированной сети – на распространение и заражения других пк
Проверка в тестовом локальном контуре с подключением по ВПН
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит  sysinternols
В случае установленного факта заражения, но невозможностью антивируса удалить с АРМ червя – переустановить систему

Синий экран:

Установка ошибки
Решение ошибки без переустановки
Переустановка системы
Если установка не требуется и проблема в заражении пк полная антивирусная проверка в safe mode

Шифровальщик:

При обнаружении зашифрованного устройство – отключить его от локальной сети для исключения возможности дальнейшего распространения
Посмотреть возможность для расшифровывания раб станции
Переустановка ОС в случаи невозможности расшифровки
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит  sysinternols

При обнаружении бут кита:

Выявить пользователя с зараженным компьютером
Отключить компьютер из сети  и изъять его
Заблокировать учетные записи пользователя и доступы
Заменить мат плату на компьютере
Проверить на заражения компьютеры в том же сегменте

RAT:

Отключаем компьютер от сети
Переустанавливаем ОС
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит  sysinternols
Проверить утилитами на наличие буткитов 
Если у вас замечания или уточнения по материалу статьи, пишите буду рад любым комментариями.
Теги:
Источник — habr.comИсточник