Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Скидка до 20% на услуги дата-центра. Аренда серверной стойки. Colocation от 1U!

Миграция в облако #SotelCloud. Виртуальный сервер в облаке. Выбрать конфигурацию на сайте!

Виртуальная АТС для вашего бизнеса. Приветственные бонусы для новых клиентов!

Виртуальные VPS серверы в РФ и ЕС

Dedicated серверы в РФ и ЕС

По промокоду CITFORUM скидка 30% на заказ VPS\VDS

VPS/VDS серверы. 30 локаций на выбор

Серверы VPS/VDS с большим диском

Хорошие условия для реселлеров

4VPS.SU - VPS в 17-ти странах

2Gbit/s безлимит

Современное железо!

5.2 Оценка

5.2.1 Что случилось на самом деле?

Эта этап включает точное выявление проблемы. В большинстве случаев причиной событий, ассоциируемых с заражением вирусами, проникновением в АС, и т.д., оказываются просто аппаратные сбои. Для того чтобы помочь выявить, произошел ли инцидент на самом деле, обычно полезно получить и применить любое обнаруживающее программное обеспечение, которое может быть доступно. Например, широко распространенные программы могут сильно помочь любому, кто подозревает наличие вируса на компьютере Macintosh. Контрольная информация также очень важна, особенно при выявлении сетевой атаки. Крайне важно получить образ памяти АС, если есть подозрение, что происходит что-то необычное. Многие инциденты приводят к возникновению динамической цепочки событий, и образ памяти АС в начале может помочь при выявлении проблемы и источника атаки больше, чем любые другие действия, предпринимаемые на этом этапе. Наконец, важно завести журнал. Занесение в него записей о системных событиях, телефонных звонках, и т.д. поможет произвести более быстрое и надежное выявление проблемы, а также послужит основой для следующих этапов улаживания инцидента.

Существуют определенные признак или "симптомы" того, что произошел инцидент, требующий особого внимания:

  • аварийные завершения работы АС;
  • новые регистрационные имена пользователей (например, может появиться необъяснимым образом регистрационное имя RUMPLESTILTSKIN), или высокая активность регистрационного имени, которое несколько месяцев не проявляло никакой активности;
  • новые файлы (обычно со странными именами, такими как data.xx или k);
  • наличие несоответствий в информации о работе регистрационных имен ( например, в UNIX вы можете заметить, что файл учета работы регистрационных имен, названный /usr/admin/lastlog, был обрезан, что является очень подозрительным);
  • изменения в длинах файлов или их датах (например, у пользователя должно появиться подозрения, если он видит, что .EXE-файлы в ЭВМ с MS-DOS неожиданно увеличились на 1800 байт);
  • попытки записи в системные файлы (например, системный администратор замечает, что привилегированный пользователь в VMS пытается изменить файл RIGHTSLIST.DAT);
  • модификация или удаление данных (например, начинают исчезать файлы);
  • отказ в обслуживании (например, системный администратор и остальные пользователи блокированы ОС UNIX, которая перешла в однопользовательский режим);
  • необъяснимо медленная работа АС (например, выдача сообщений АС становится необычно медленной);
  • аномалии (например, на экране терминала высвечивается GOTCHA или слышатся частые необъяснимые гудки динамика ЭВМ);
  • подозрительные входы в АС (например, большое число неудачных попыток войти в АС с другого узла сети);
  • подозрительный просмотр файлов (например, кто-то становится суперпользователем в UNIX и начинает последовательно просматривать файлы одного регистрационного имени, затем другого и т.д.).

Ни один из этих признаков не является абсолютным доказательством того, что происходит инцидент, кроме того при инциденте могут наблюдаться не все перечисленные выше признаки. Если вы заметили любой из этих признаков, то следует, тем не менее, заподозрить возникновение инцидента и действовать соответствующим образом. Не существует формулы, позволяющей со стопроцентной точностью определить, что происходит инцидент (возможное исключение: когда антивирусная программа сообщает, что на вашем СВТ есть вирус nVIR, и вы убеждаетесь в этом, обнаружив на вашем Macintosh его текст, вы можете быть уверены, что ваше СВТ заражено). В этот момент лучше всего связаться с персоналом, отвечающим за защиту СВТ, для принятия коллективного решения о том, происходит ли инцидент.

5.2.2 Область распространения инцидента

Вместе с идентификацией инцидента следует проводить оценку области распространения и опасности инцидента. Важно корректно идентифицировать границы инцидента, для того чтобы эффективно его уладить. Помимо этого, опасность инцидента определит приоритеты при распределении привлекаемых ресурсов. Не зная области распространения и опасности события, трудно произвести корректные ответные действия.

Для того чтобы идентифицировать область распространения и опасность, следует создать набор критериев, который будет меняться в зависимости от организации и сетевых соединений. Вот некоторые из них:

  • Этот инцидент затрагивает несколько организаций?
  • Много ли СВТ вашей организации пострадали из-за этого инцидента?
  • Затрагивает ли он конфиденциальную информацию?
  • Что было начальной точкой при его распространении (сеть, телефонная линия, местный терминал, и т.д)?
  • Знает ли о нем пресса?
  • Каковы потенциальные разрушительные последствия инцидента?
  • Сколько ориентировочно понадобится времени, чтобы уладить инцидент?
  • Какие ресурсы потребуются для улаживания инцидента?

Назад | Содержание | Вперед

Бесплатный конструктор сайтов и Landing Page

Хостинг с DDoS защитой от 2.5$ + Бесплатный SSL и Домен

SSD VPS в Нидерландах под различные задачи от 2.6$

✅ Дешевый VPS-хостинг на AMD EPYC: 1vCore, 3GB DDR4, 15GB NVMe всего за €3,50!

🔥 Anti-DDoS защита 12 Тбит/с!

VPS в России, Европе и США

Бесплатная поддержка и администрирование

Оплата российскими и международными картами

🔥 VPS до 5.7 ГГц под любые задачи с AntiDDoS в 7 локациях

💸 Гифткод CITFORUM (250р на баланс) и попробуйте уже сейчас!

🛒 Скидка 15% на первый платеж (в течение 24ч)

Новости мира IT:

Архив новостей

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 7861149
Пресс-релизы — pr@citforum.ru
Обратная связь
Информация для авторов
Rambler's Top100 TopList This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2019 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...