Approccio di isolamento e contenimento degli incidenti

2

Nella risposta agli incidenti, ci sono comunemente due approcci all'isolamento e al contenimento dopo che è stato riportato un incidente reale.

  1. I sistemi compromessi sono disabilitati o disconnessi, ma le operazioni proseguono ripristinando un sistema ridondante fino a quando l'incidente non viene risolto, o scollegato / disabilitato temporaneamente fino a quando l'incidente non viene risolto
  2. I sistemi compromessi non sono disabilitati o scollegati e il normale funzionamento continua? Ma dedica del tempo a rintracciare hacker e raccogliere prove ??

In entrambi gli approcci, alcuni esperti suggeriscono che la disconnessione non è consigliabile a causa di motivi legali. In tal caso, qual è il modo migliore per isolare / contenere l'incidente in modo che non si diffonda ulteriormente e, allo stesso tempo, non permetta all'hacker di sapere che abbiamo già rilevato la sua esistenza? IMO, penserei che sia una questione di tempo e risorse? Preferiresti passare il tempo a rintracciare chi, come sono arrivati? O preferisci applicare patch e visualizzare rapidamente i tuoi sistemi?

Ho chiesto questo perché non abbiamo un piano di risposta agli incidenti molto efficace e stiamo cercando di trovare il modo migliore per gestire gli incidenti.

    
posta Pang Ser Lark 01.12.2015 - 01:58
fonte

1 risposta

3

Secondo me la risposta dovrebbe essere in linea con la tua attività. Dipende da cosa apprezzi di più se riservatezza, integrità, disponibilità o tracciabilità.

Se la disponibilità o la tracciabilità sono le più importanti: non spegnere i sistemi. Progetta una procedura per raccogliere le prove forensi il più presto possibile ed eseguila quando necessario.

Se la riservatezza o l'integrità sono le più importanti: spegnimento dei sistemi, estrai immagini forensi dai dischi ed esegui analisi forensi con ciò che hai lì.

    
risposta data 01.12.2015 - 08:38
fonte

Leggi altre domande sui tag