Cosa viene esaminato dopo un possibile hack sui server?

5

La mia domanda segue le recenti notizie dell'incidente dell'hacking di Sony. Mi stavo chiedendo quale tipo di indagine è condotta da una società di sicurezza o dall'FBI. Ad esempio, se i server di rete sono stati compromessi, qual è la prima cosa che viene eseguita? Arrestano tutte le reti di server, per interrompere qualsiasi potenziale trasmissione. Se la violazione è stata causata da un malware, come può effettivamente contenerlo durante la sua analisi? L'uso di sandbox ha i suoi limiti, dovrebbero eseguire tutti i dati correnti su una nuova macchina fisicamente separata, così come una macchina virtuale?

Ho la sensazione che questa domanda potrebbe diventare troppo lunga per rispondere, ma bastano pochi passi e se possibile collegamenti a processi più dettagliati, se disponibili. In definitiva, la risposta è trovare la fonte dell'hack, ma quali passi vengono fatti nelle indagini che portano all'identificazione della fonte dell'hack.

    
posta user29568 19.12.2014 - 18:30
fonte

1 risposta

4

Questo dipende in gran parte dalle politiche dell'organizzazione, ma ciò di cui stai parlando è Incident Response (IR), che ricade sotto il termine generico di Gestione degli incidenti di sicurezza informatica .

La risposta che viene adottata in genere dipende dal tipo di attacco, dagli eventuali attori noti della minaccia e dai singoli sistemi o regioni di rete che sono noti per essere compromessi. Queste sono distinzioni importanti: non si farebbero le stesse azioni con la postazione di un addetto alla reception compromessa come si farebbe con un sistema di supporto vitale compromesso o un sistema di controllo industriale.

I passaggi principali in IR sono:

  • Avviso - Qualcuno notifica al team che si è verificata una potenziale violazione.
  • Classificazione - Un risponditore di primo livello esegue un'analisi preliminare per identificare il livello di minaccia e prende i passaggi IR prescritti per la classe di minaccia (ad esempio normale, critica, ecc.)
  • Azione: isolamento e pulizia dei sistemi interessati, con misure per garantire che tutte le backdoor siano chiuse e che il buco originale sia corretto.
  • Indagine - Identificazione di come è apparsa la minaccia, attribuzione degli aggressori, ecc.

Puoi quindi dividerli e riorganizzarli in base a una situazione particolare. In alcuni casi, l'organizzazione potrebbe essere interessata unicamente al recupero e al proseguimento, pertanto la fase di indagine è minima o addirittura saltata. In altri casi, può essere presa in considerazione la procedura legale, pertanto viene prestata particolare attenzione a fornire una solida catena di prove usando strumenti noti per essere approvati dai tribunali locali. A volte la fase di azione non prevede affatto la pulizia della macchina, nel tentativo di registrare e monitorare il comportamento degli aggressori in tempo reale per ottenere un'attribuzione più strong.

In breve: la risposta è che dipende dall'organizzazione e dalla situazione. IR è raramente in bianco e nero.

    
risposta data 19.12.2014 - 18:47
fonte

Leggi altre domande sui tag