Come creare un rapporto dopo un attacco ddos? quali informazioni devo scrivere sul rapporto?

Naviga le tue risposte
16

Nella mia azienda, dopo un DDOS contro un server, il mio datore di lavoro mi ha chiesto di fare un'analisi dell'attacco e di scrivere alcune cose.

Cosa pensi che dovrei scrivere nel mio rapporto?
C'è qualche modello disponibile da un CIRT o un'altra organizzazione che può essere usato dopo un incidente?
Qual è la migliore pratica su questo tipo di rapporto?

Nella mia prima analisi ho trovato dove era pianificato l'attacco (un canale IRC).
Ho trovato informazioni sullo strumento utilizzato e l'url in cui è possibile scaricare lo strumento.
L'attacco è fatto con un LOIC e non con alcun tipo di botnet (come io so in realtà).
L'attacco è stato pianificato senza un'organizzazione gerarchica, ma è stato organizzato e sfruttato con l'aiuto di persone reclutate da un corpo a corpo con la condivisione di un piccolo manifesto e la condivisione tramite IRC e Twitter di un JPG contenente le informazioni sull'obiettivo e il tempo dell'attacco.
Devo anche scrivere alcune cose sulla gente intorno a questo attacco?

qualche suggerimento?

PER FAVORE: one-suggestion one-answer, quindi possiamo avere una best practice di community alla fine:)

    
posta boos 07.03.2011 - 20:30
fonte

1 risposta

22

Mi spiace non avere un buon link, ma il mio pensiero è quello che vuoi coprire:

Che cosa è successo?

  • Quando è successo e per quanto tempo è continuato?
  • Chi l'ha fatto e come?
  • Cosa è stato interessato: quali siti, quali server, quanti server, quale parte dell'azienda? Quali clienti?
  • Analisi delle cause principali

Qual è stato l'impatto?

  • Danni ai server
  • Danni / esposizione di informazioni
  • Danni alla reputazione aziendale
  • Danni alla vita umana (incrociando le dita che questo è un no definitivo !!!)
  • Costo del recupero (tempo, attrezzatura, ecc.)

Arrestare / Prevenzione

  • Cosa è stato fatto finora? Scomposizione in risposta immediata rispetto agli aggiornamenti in corso
  • Che altro dovrebbe essere fatto?
  • Qual è la proiezione di questo evento?
  • Che ne pensi di qualcosa di simile, ma non esattamente lo stesso?
  • Ci sono cambiamenti che potremmo apportare al processo futuro per prevenire / mitigare questo tipo di rischio?

Analizza passato / presente / futuro - cosa abbiamo fatto immediatamente, cosa stiamo facendo ora, quali sono le grandi cose che dovremmo fare in futuro che richiederanno finanziamenti di alto livello?

Prognosi futura

  • Se facciamo tutto nel report, qual è il probabile stato del sistema per gli attacchi futuri. Probabilmente non "a prova di proiettile", quindi dai una valutazione della probabilità.
  • Che ne dici se lasciamo il sistema nello stato corrente (parzialmente risolto?)?
risposta data 08.03.2011 - 22:05
fonte

Leggi altre domande sui tag

Quanto tempo dovrebbero essere i codici di autenticazione a 2 fattori? Come posso decodificare un messaggio che è stato crittografato con un pad singolo?