[ Pobierz całość w formacie PDF ]
.Na przykład ochrona dowodów iodnalezienie ewentualnych zmian w plikach może się kłócić z szybkim przywróceniem normalnejpracy systemu.W takich wypadkach należy ustalić priorytet zadań.Zasada nr 2 - DOKUMENTUJNiezwłocznie rozpocznij prowadzenie rejestru zdarzeń! Powinny być w nim zapisane wszystkieinformacje o włamaniu, łącznie z datą i godziną.Wszystkie sprawdzane pliki tekstowe należywydrukować, podpisać i opatrzyć datą.Jeśli zasoby systemu na to pozwalają, należy równieżzapisać całą sesję za pomocą polecenia script.Przestudiowanie tak zebranych informacji możeznacznie zaoszczędzić czas i zmniejszyć stres, szczególnie gdy czas odgrywa ważną rolę wprzywracaniu normalnej pracy systemu.W tym rozdziale i dwóch następnych znajdują się zalecenia dotyczące zachowania się w sytuacjizagrożenia bezpieczeństwa systemu.W następnych podrozdziałach opisano mechanizmywykrywania włamania i postępowania ze sprawcą.W rozdziale 25, pt. Ataki przezuniemożliwienie działania", znajdują się informacje o atakach przeprowadzanych w celublokowania poprawnej pracy systemu, lecz nie skutkujące zniszczeniem danych.Rozdział 26, pt. Bezpieczeństwo systemów komputerowych a prawo w USA", zawiera wiadomości na tematprawnych aspektów rozważanego zagadnienia, które trzeba brać pod uwagę w razie zagrożeniabezpieczeństwa systemu.Zasada nr3-PLANUJJedną z ważniejszych spraw, o których trzeba pamiętać w sytuacjach zagrożenia systemu, jestplanowanie.Jeśli wystąpi taka sytuacja, należy wykonać kilka standardowych czynności, którepowinny być zaplanowane wcześniej, aby nie tracić czasu.W przypadku większych systemów plany po utworzeniu należy przetestować.Opróczstandardowych próbnych alarmów przeciwpożarowych warto być może przeprowadzić ćwiczeniauczące użytkowników, jak się zachować w wypadku pojawienia się w systemie wirusa lub powykryciu włamania.W tworzonym planie powinny się znalezć następujące czynności:1.Identyfikacja i zrozumienie problemu.Jeśli nie wiadomo, z jakim problemem ma się do czynienia, nie można mu przeciwdziałać.Zasadata nie oznacza, że należy od razu doskonale uświadamiać sobie całość zagadnienia, ale wystarczyzrozumieć, jaki rodzaj włamania wystąpił.Przerwanie połączenia sieciowego na zewnątrz niepomoże w przypadku działań odwetowych pracownika, który ma swój terminal w jednym zpomieszczeń biurowych firmy.2.Ograniczenie lub powstrzymanie niszczeń.Po zidentyfikowaniu zagrożenia należy natychmiast podjąć odpowiednie kroki w celu jegoograniczenia lub powstrzymania.Jeśli na przykład okaże się, że jakiś pracownik usuwa plikisystemowe, należy zablokować jego dostęp do systemu.Prawdopodobnie należy równieżwyciągnąć inne konsekwencje dyscyplinarne.Czynności te mają ograniczyć zniszczenia danych isystemu.3.Potwierdzenie diagnozy i określenie zniszczeń.Po działaniach mających ograniczyć zniszczenia należy potwierdzić diagnozę problemu orazokreślić rodzaj i wielkość strat.Czy po zablokowaniu pracownikowi dostępu do systemu danenadal znikają? Nigdy nie można mieć zupełnej pewności co do wzajemnych powiązań pewnychwydarzeń.Poza tym czasem nie da się zidentyfikować wszystkich zniszczeń od razu (czasem nieda się tego zrobić w ogóle).4.Przywrócenie normalnego działania systemu.Jeśli znane są rozmiary zniszczeń, należy przywrócić normalne działanie systemu i poprzedni standanych.Może to oznaczać konieczność użycia kopii zapasowych do ponownego załadowaniaczęści systemu lub tylko proste ponowne uruchomienie systemu.Zanim wykona się te czynności,należy upewnić się, czy wszystkie przeznaczone do użycia programy są bezpieczne".Napastnikmógł zamienić program restore na konia trojańskiego, który usunie zarówno pliki z dysku, jak i ztaśmy z kopią zapasową!5.Znalezienie przyczyny zagrożenia.Jeśli problem wystąpił z powodu jakiegoś słabego punktu w systemie zabezpieczeń, wówczas poprzywróceniu normalnego działania systemu należy dokonać w nim niezbędnych zmian.Jeśliprzyczyną zagrożenia była pomyłka jakiejś osoby, wówczas osobę tę należy poinstruować, abyuniknąć ponownego wystąpienia niebezpiecznej sytuacji.W przypadku czyjegoś celowegodziałania można podjąć czynności przewidziane przez prawo.6.Podjęcie dodatkowych czynności.Jeśli polisa ubezpieczeniowa obejmuje takie sytuacje, można ubiegać się o zwrot poniesionychkosztów.Ważne jest również utrzymywanie dobrych kontaktów w środowisku pracy iniedopuszczanie do rozprzestrzeniania się plotek
[ Pobierz całość w formacie PDF ]