сегодня в 16:11
Короткие инструкции реагирования на инциденты ИБ
Информационная безопасность *IT-инфраструктура *
Из песочницы
Здесь, собраны короткие инструкции реагирования на инциденты ИБ . В материале не рассматриваются конкретные инструменты с помощью которых вы можете обнаружить данные угрозы – рассмотрен примерный порядок действий при таком обнаружении.
Локальная сеть
Взлом принтера или ИП телефона:
Отключить принтер от сети
Подключить локально
Сменить-установить пароль
Перенастроить – выполнить сброс к заводским настройкам
При обнаружении – удалении трояна с компьютера:
Временная блокировка сетевого трафика на раб. станции до выяснения обстоятельств
Проведение полной антивирусной проверки (штатным антивирусом)
Проведение дополнительной антивирусной проверки(не штатным антивирусом)
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит sysinternols
При выявлении постороннего устройство (например рабочей станции):
Выявить ип адрес – ДНС имя
Просканировать nmap или другим сканером портов
Собрать информацию о станции с помощью других утилит либо средствами межсетевого экрана
Установить местоположение устройства в ДМЗ
Если постороннее устройство находится в офисе выключить до выяснения обстоятельств – кто-то из сотрудников может принести свое. Изымать не рекомендую так, как может быть расценено как кража.
Если оно не из локальной сети заблокировать по ип и мак адресу (зависит от вас – можно ставить первым пунктом, но если станция физически не в защищаемом периметре – узнать о ней больше может не получится – злоумышленник может отключиться)
Сетевой червь:
Блокировка компьютера средствами межсетевого экрана либо отключение от локальной сети
Установления всех АРМ на которые был распространён черв – и их блокировка сетевого соединения до удаления черве
Удаления сетевого червя
Проверка в изолированной сети – на распространение и заражения других пк
Проверка в тестовом локальном контуре с подключением по ВПН
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит sysinternols
В случае установленного факта заражения, но невозможностью антивируса удалить с АРМ червя – переустановить систему
Синий экран:
Установка ошибки
Решение ошибки без переустановки
Переустановка системы
Если установка не требуется и проблема в заражении пк полная антивирусная проверка в safe mode
Шифровальщик:
При обнаружении зашифрованного устройство – отключить его от локальной сети для исключения возможности дальнейшего распространения
Посмотреть возможность для расшифровывания раб станции
Переустановка ОС в случаи невозможности расшифровки
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит sysinternols
При обнаружении бут кита:
Выявить пользователя с зараженным компьютером
Отключить компьютер из сети и изъять его
Заблокировать учетные записи пользователя и доступы
Заменить мат плату на компьютере
Проверить на заражения компьютеры в том же сегменте
RAT:
Отключаем компьютер от сети
Переустанавливаем ОС
Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)
Проверка процессов с помощью утилит sysinternols
Проверить утилитами на наличие буткитов
Если у вас замечания или уточнения по материалу статьи, пишите буду рад любым комментариями.
Теги:
Источник - habr.com
