Ho copiato questa domanda testualmente da un tweet di Dave Hull.
CIRT = Squadra di risposta agli incidenti del computer
Ho copiato questa domanda testualmente da un tweet di Dave Hull.
CIRT = Squadra di risposta agli incidenti del computer
Then: Time Well Spent
Ero solito eseguire un IRT nel 2000-2002 e, al momento, la (maggiore) minaccia (percepita) proveniva dai kiddies di script locali.
Abbiamo usato lavagne e RDBM grezzi (senza GUI o applicazione in cima) per tracciare le persone, i loro soprannomi, noti attacchi di successo, affiliazioni di gruppo, rivalità interne, ecc.
Sapevamo molto di più su queste persone e su ciò che avevano fatto, di quanto saremmo mai stati in grado di dimostrare in tribunale, ma non lo sapevano, quindi è stato utile partecipare a volte a vari canali IRC. Abbiamo stimato che abbiamo speso meno tempo a monitorare e "ricordare" loro della nostra esistenza di quanto avremmo passato a ripulire dopo di loro.
Ora: consulta le valutazioni del rischio
Mentre preferisco dormire regolarmente con l'IR in questi giorni, ho il sospetto che sia molto meno sensato dal punto di vista finanziario che i team IR maturi e aziendali tengano traccia degli aggressori oggi. Molti aggressori sono bande criminali o abiti dell'intelligence situati lontano. Il tempo richiesto per la ricerca di individui e il collegamento con LE appropriato dovrebbe essere calcolato in settimane o mesi invece che in ore o giorni.
Quindi, non penso che gli IRT aziendali raccolgano informazioni sui loro aggressori e, se lo facessero, probabilmente sfiderei la loro valutazione del rischio. Ho difficoltà a immaginare uno scenario in cui un'azienda dovrebbe essere meno interessata a spendere soldi per sapere chi sta tentando di attaccarli.
L'analisi costi / benefici è ovviamente molto diversa per i negozi di IR commerciali, di noleggio e LE e le agenzie di intelligence, ma nessuno di questi corrisponde al termine "maturo CIRT" nel mio libro.
Non sono un membro di un IRT, ma ho parlato con alcune persone che erano mentre ero fuori a BSides / RSA e certamente i gruppi che sono più preoccupati dell'APT (gente come Beijtlich, Power, ecc.) sembrano spendere un'enorme quantità di risorse dal lato della ricerca.
Alcuni punti di vista diversi - i professionisti della sicurezza che mirano specificamente alla protezione contro l'APT trattano come una guerra, e l'intelligenza è acquisita da qualsiasi fonte, incluso lo spionaggio, dai suoni delle cose (sebbene fossero molto dispiaciuti di sottolineare che non si abbasserebbe ai livelli che potrebbero avere poteri stranieri)
Per le compagnie elettriche e le infrastrutture nazionali critiche l'attenzione era più concentrata sul tentativo di ottenere un'indicazione sulla prevedibilità dell'attacco nel prossimo futuro, quindi prestare più attenzione alla chat di tipo IRC.
Leggi altre domande sui tag incident-response