Mempersiapkan untuk Analisis Insiden:
Ø Anda memiliki firewall yang terbaik dikonfigurasi dan dikelola oleh staf terlatih? Anda memiliki paling terakhir sistem antivirus menonton email, workstation, dan server? Anda telah berhasil dikonfigurasi web proxy dengan kebijakan yang baik? Anda memiliki jaringan yang solid arsitektur yang dirancang dari bawah ke atas dengan keamanan dalam pikiran dan dengan pendidikan pengguna yang sangat baik Program di tempat - dan Anda masih mendapatkan hacked? Bahkan dengan mekanisme pertahanan terbaik cyber di tempat, insiden cyber yang mungkin akan terjadi? Apakah Anda siap untuk benar mengidentifikasi apa yang salah dan bagaimana sembuh? Sebuah sedikit perencanaan dan persiapan sekarang akan berharga jika dan ketika sistem Anda di kompromikan.
Ø ICS-CERT Kontrol Industri Cyber Sistem Darurat Response Team (CERT ICS-) memberikan panduan untuk penting aset pemilik infrastruktur di bagaimana menyiapkan jaringan Anda untuk menangani dan menganalisa dunia maya yang insiden. Garis paragraf berikut direkomendasikan praktek untuk mengembangkan insiden respon yang diperlukan untuk mengumpulkan data kemampuan dan melakukan tindak-tindakan-tindakan untuk mengembalikan sistem Anda untuk operasi normal.
Ø Membangun Kemampuan Analisis Sistem. Tidak semua insiden cyber dapat dicegah, karena itu,kemampuan untuk mengidentifikasi sumber dan menganalisis sejauh mana kompromi diperlukan untuk cepat mendeteksi insiden, meminimalkan kerugian, mengurangi kelemahan yang dieksploitasi, dan memulihkan layanan komputasi.
Ø Dua komprehensif sumber daya untuk mengembangkan kemampuan respon insiden adalah:
1) Mengembangkan Sistem Pengendalian Industri Respon Insiden Kemampuan cybersecurity, 2009
2) Penanganan Insiden Keamanan Komputer Panduan, 2008
Ø Persiapan Operasional Tindakan-tindakan kesiapan operasional harus dipertahankan untuk menjamin ketersediaan data yang memadai untuk pulih dari insiden. Secara khusus, sebuah keseluruhan Insiden checklist kesiapan harus dibuat dan ditinjau secara teratur. Daftar kontak dan eskalasi poin juga harus dijaga, dicetak, dan disimpan untuk memasukkan ISP, CERT, layanan / software / hardware penyedia, memimpin tim internal, dll. Sistem dokumentasi harus dapat diakses untuk operasi personil untuk membantu memfasilitasi analisis kejadian dan indentify prioritas untuk pemulihan. Minimal, Dokumentasi harus mencakup:
• IP dan nama host rentang
• informasi DNS
• Nama Sistem Operasi Software dan, versi, dan patch level,dll
• Pengguna dan peran computer
• Jalan keluar Ingress dan poin antara jaringan.
Ø Sebuah respon insiden pengumpulan informasi "checklist" juga harus dibuat untuk memastikan jenis informasi yang dapat membantu CERT eksternal atau mitra dikumpulkan sesegera mungkin. Para checklist harus mencakup informasi seperti:
• Terkena IP
• Metode deteksi
• Jenis insiden
• Jenis bantuan yang dibutuhkan
• Potensi dampak operasional
• Poin kontak.
Ø Insiden Penanganan Mempersiapkan untuk Analisis Insiden
Pentingnya Logging Sistem dan jaringan log perangkat yang penting untuk insiden peneliti. Berikut jenis penebangan harus dipertimbangkan:
Pentingnya Logging Sistem dan jaringan log perangkat yang penting untuk insiden peneliti. Berikut jenis penebangan harus dipertimbangkan:
• Firewall log
• Proxy log
• DNS log
• IDS log
• Arus data dari router dan switch
• Packet menangkap
• Host dan log Aplikasi.
Ø Selama insiden jaringan investigasi, administrator harus mampu mengidentifikasi host internal telah berkomunikasi dengan IP mana
alamat dan apa jenis lalu lintas yang dihasilkan. Permintaan DNS, aktivitas proxy, dan jaringan yang tidak biasa kegiatan, seperti port scanning, juga penting data yang mungkin diperlukan dalam suatu insiden investigasi. Sistem audit fitur, retensi log jangka waktu, dan sinkronisasi waktu harus dikelola dengan baik. Integritas log sangat penting dalam investigasi insiden; Oleh karena itu, log harus terus disimpan pada sistem yang terpisah, sering didukung-up, dan hash kriptografis untuk memungkinkan deteksi log perubahan. Melestarikan data Forensik Komponen penting lainnya dari respon insiden yang forensik pengumpulan data, analisis, dan pelaporan.
alamat dan apa jenis lalu lintas yang dihasilkan. Permintaan DNS, aktivitas proxy, dan jaringan yang tidak biasa kegiatan, seperti port scanning, juga penting data yang mungkin diperlukan dalam suatu insiden investigasi. Sistem audit fitur, retensi log jangka waktu, dan sinkronisasi waktu harus dikelola dengan baik. Integritas log sangat penting dalam investigasi insiden; Oleh karena itu, log harus terus disimpan pada sistem yang terpisah, sering didukung-up, dan hash kriptografis untuk memungkinkan deteksi log perubahan. Melestarikan data Forensik Komponen penting lainnya dari respon insiden yang forensik pengumpulan data, analisis, dan pelaporan.
Ø Elemen ini penting untuk menjaga yang penting bukti. Untuk menghindari hilangnya penting Data forensik, kegiatan berikut harus dilakukan:
· Menyimpan catatan rinci tentang apa yang diamati, termasuk tanggal / waktu, mitigasi langkah yang diambil / tidak diambil, perangkat penebangan diaktifkan / dinonaktifkan, dan Mesin nama untuk dicurigai dikompromikan peralatan. Lebih banyak informasi yang umumnya lebih baik daripada informasi yang kurang.
· Bila mungkin, menangkap data sistem hidup (yaitu, saat ini koneksi jaringan dan terbuka proses) sebelum melepaskan mesin dari jaringan Anda menduga dikompromikan.
· Mengambil foto forensik dari memori sistem dan hard drive sebelum menyalakan sistem.
· Hindari menjalankan perangkat lunak antivirus "setelah Bahkan "sebagai scan AV perubahan tanggal file kritis dan menghambat penemuan dan analisis yang dicurigai file berbahaya dan jadwal.
· Hindari membuat perubahan pada operasi sistem atau perangkat keras, pembaruan termasuk dan patch, karena mereka akan menimpa penting informasi tentang malware dicurigai.
Ø Organisasi harus berkonsultasi dengan forensik terlatih peneliti untuk saran dan bantuan sebelum melaksanakan setiap upaya pemulihan atau forensik. Kontrol lingkungan sistem memiliki kebutuhan khusus yang harus dievaluasi ketika membangun sebuah dunia maya forensic rencana.
Ø ICS-CERT merekomendasikan berikut sumber di forensik Control System:
Rekomendasi Praktek:
· Membuat Forensik Cyber Rencana untuk Sistem Kontrol Departemen Dalam Negeri Keamanan, 2008 http://www.uscert.gov/control_systems/pdf/Forensics_RP.pdf
Hubungi ICS-CERT
Hubungi ICS-CERT
Posting Komentar