ПС Лекція 2

Questions and Answers

Який код позначає крадіжку часу?

• QAZ
• QAI
• QAH
• QA1 (correct)

Який з наведених кодів відноситься до комп'ютерних вірусів?

• QDL
• QDV (correct)
• QDW
• QDT

Який з наступних кодів позначає шахрайство з ігровими автоматами?

• QFD
• QFC
• QFG (correct)
• QFT

Який код відповідає за незаконне копіювання програмного забезпечення?

QRS (C)

Який із наведених кодів використовується для критеріїв комп'ютерного саботажу?

QSH (A), QSS (B)

Що позначає код QZE?

Розкрадання інформації, що становить комерційну таємницю (C)

Яка дія відповідає коду QFT?

Телефонне шахрайство (C)

Який код відповідає за інші види комп'ютерного шахрайства?

QFZ (D)

Які з наведених інцидентів є найбільш небезпечними для бізнесу?

Пошукова оптимізація (SEO) для розповсюдження шкідливих програм (A), Експлуатація вразливостей у додатках, розроблених третіми сторонами (C)

Яка з наведених дій не є частиною процесу управління інцидентами інформаційної безпеки?

Збільшення бюджету на рекламу (C)

Який метод вразливості використовують зловмисники для призупинення виробничих процесів?

Вразливості так званої нульової доби (C)

Що є основним викликом для більшості організацій у випадку інциденту інформаційної безпеки?

Обробка подій, що загрожують бізнесу (C)

Які із зазначених заходів є правильними для забезпечення інформаційної безпеки?

Впровадження попереджувальних заходів (A)

Який перший крок повинні вжити співробітники служби безпеки при зафіксуванні порушення кібербезпеки?

Ідентифікувати інцидент (B)

Що є важливим при зборі доказів після кіберінциденту?

Забезпечення схоронності і належного оформлення доказів (A)

Який із наступних кроків не є частиною реакції на інцидент кібербезпеки?

Запустити антивірусну перевірку на всіх комп'ютерах (A)

Який етап включає в себе створення плану робіт зі збору доказів?

Формування команди для розслідування інциденту (C)

Який з вказаних заходів не входить до протоколу дій при інциденті кібербезпеки?

Зв'язатись з патрульною поліцією (C)

Яка з наведених атак спрямована на установку шкідливого програмного забезпечення на сервери компанії?

Цільовий фішинг (C)

Яка атака найчастіше використовує вразливості в офісних програмах?

Перехоплення браузера (D)

Що таке 'pass-the-hash' атака?

Отримання доступу до корпоративного домену через пакети Windows (B)

Яка з цих атак націлена на збори критичної інформації про компанію?

Атака на соціальні мережі (A)

Яка атака передбачає використання шкідливих скриптів на веб-сайтах?

Перехоплення браузера (B)

Яка з цих методів найчастіше використовується для контролю систем?

Атаки на адміністративні web-інтерфейси (D)

Що є метою масових SQL-ін’єкцій?

Крадіжка конфіденційних даних (C)

Які програми, зазвичай, стають мішенню для атак на офісні документи?

Excel, PowerPoint і Word (B)

Коли використовуються уразливості в мультимедіа-програвачах?

При поширенні вірусів (D)

Яка атака може змінювати вміст баз даних, відображаючи неправильні дані?

Масова SQL-ін’єкція (B)

Який з цих етапів не є обов’язковим при оформленні доказів?

Відновити роботоздатність інформаційної системи (A)

Як потрібно працювати з джерелами інформації під час проведення дослідження?

Працювати тільки з копією (A)

Що потрібно зробити після збереження та оформлення речових доказів?

Відновити роботоздатність ІС (C)

Які з цих дій є важливими при взаємодії з зовнішніми організаціями?

Правильна взаємодія з зацікавленими підрозділами (C)

Яка процедура необхідна для забезпечення безпеки доступу до Інтернету?

Налаштувати ПЗ АРМ та інші програми (A)

Яка з цих рекомендацій не включає зниження ризиків аналогічних інцидентів?

Проводити регулярні навчання для користувачів (A)

Який з цих моментів є критично важливим при оформленні опису об’єктів?

Докладний опис місць зберігання даних (A)

Яка дія не є частиною процесу збереження доказів?

Перевірка ідентифікації користувачів (C)

Які з зазначених атак забезпечують зловмисникам можливість обійти захисні механізми обладнання?

Перехоплення інформації через шини даних (A)

Яка організація рекомендує 20 найбільш критичних заходів захисту інформації?

Американська IT-компанія SANS (C)

Що регламентує систему нормативних документів із технічного захисту інформації в Україні?

Заходи із захисту інформації (A)

Яка техніка не входить до групи атак, що дозволяють зловмисникам отримати ключі шифрування?

Фішинг (D)

Яка концепція охоплює функціональні послуги безпеки в системах захисту інформації?

Функціональні послуги безпеки (ФПБ) (C)

Flashcards

Управління інцидентами ІБ

Процес аналізу рівнів інформаційної безпеки, оцінки ефективності безпекових заходів та впровадження коригувальних, попереджувальних або інших заходів для відновлення нормального функціонування систем після атаки.

Потенційні загрози бізнесу

Події, що можуть негативно вплинути на діяльність організації, наприклад, кібератаки.

SEO-атаки

Застосування пошукової оптимізації (SEO) для поширення шкідливих програм зловмисниками.

Вразливості у клієнтському ПЗ

Потенційні помилки у програмному забезпеченні, що використовуються для роботи, які зловмисники можуть використати.

Нульова доба

Нова вразливість у програмному забезпеченні, яка не була виявлена раніше.

Несанкціонований доступ (QA)

Незаконне отримання доступу до комп'ютерних ресурсів.

Зміна комп'ютерних даних (QD)

Незаконне змінення інформації в комп'ютерній системі.

Комп'ютерне шахрайство (QF)

Злочинна діяльність, що використовує комп'ютер для обману інших.

Незаконне копіювання (QR)

Копіювання програмного забезпечення або іншої інформації без дозволу власника.

Комп'ютерний саботаж (QS)

Будь-яка дія, спрямована на руйнування або пошкодження комп'ютерної системи.

Інші комп'ютерні злочини (QZ)

Комп'ютерні злочини, які не належать до категорій QA, QD, QF, QR, та QS.

Комп'ютерний абордаж (QAH)

Несанкціоноване проникнення у комп'ютерну систему.

Телефонне шахрайство (QFT)

Злочинне використання телефонних комунікацій для шахрайства.

Ідентифікація інциденту

Перший крок при виявленні порушення кібербезпеки - це переконатися, що інцидент насправді стався. Співробітники повинні проаналізувати ситуацію та визначити, чи є дійсно проблема.

Локалізація області ІТ-інфраструктури

Після підтвердження інциденту, важливо визначити, які частини ІТ-мережі задіяні. Це допоможе убезпечити інші системи та обмежити поширення впливу.

Обмеження доступу

Після ідентифікації проблемної області, необхідно обмежить доступ до таких систем та даних, щоб запобігти подальшим втратам.

Створення групи розслідування

Формування команди з експертів для розслідування інциденту, збирання доказів та відновлення систем.

Збирання доказів

Важливо зберегти докази порушення кібербезпеки, щоб їх використовувати для аналізу, відновлення та подальших дій.

Злам устаткування

Несанкціонований доступ до обладнання, який дозволяє зловмисникам отримати доступ до даних або обійти захисні механізми.

Викрадені хеші

Зашифровані паролі, які зловмисники можуть використовувати замість справжніх паролів для автентифікації в системах.

Перехоплення інформації

Несанкціонований доступ до даних, які передаються по мережі, наприклад, перехоплення трафіку по шинах даних (bus sniffing).

Зміна системного часу (clock glitching)

Спеціальна техніка, яка використовується для обходу захисних механізмів обладнання шляхом зміни його системного часу.

Захисні механізми комп'ютерних систем

Заходи, які розроблені для захисту комп'ютерних систем від несанкціонованого доступу та зловмисних дій.

Протоколювання операцій

Запис всіх дій, які здійснюються з носіями інформації під час розслідування кіберінциденту.

Документування процесу

Збереження фото- або відеоматеріалів, які фіксують хід розслідування.

Опис об'єктів інформації

Надання детальної інформації про носії інформації, дані, які з них витягуються, та місця їх зберігання.

Збереження речових доказів

Опечатування носіїв інформації та їх зберігання в безпечному місці до передачі на дослідження.

Відновлення роботоздатності ІС

Повернення інформаційної системи до працездатного стану після інциденту.

Забезпечення незмінності доказів

Робота з копіями даних під час дослідження, щоб уникнути їх зміни.

Взаємодія з підрозділами

Координування дій з іншими підрозділами та зовнішніми організаціями під час розслідування.

Звіт та рекомендації

Оформлення звіту про результати розслідування та розробка рекомендацій для запобігання аналогічним інцидентам.

Фішинг

Тип кібератаки, що використовує обман для того, щоб змусити користувача виконати деструктивну дію, наприклад, встановити шкідливе програмне забезпечення.

Вразливість в офісних програмах

Слабкі місця в програмному забезпеченні, яке використовується для роботи з документами (Word, Excel, PowerPoint) і мультимедіа (Real Player, iTunes, QuickTime), які можуть бути використані зловмисниками.

Цільовий фішинг (Spear Phishing)

Тип фішингу, де зловмисники націлюються на певних осіб або компанії, використовуючи адресні електронні листи, що містять шкідливі посилання або файли.

Перехоплення браузера (Browser Hooking)

Техніка кібератаки, де зловмисники розміщують шкідливі скрипти на веб-сайтах, які можуть перехопити контроль над браузером користувача.

Масові SQL-ін'єкції

Кібератаки, які дозволяють зловмисникам отримати доступ до конфіденційних даних з баз даних веб-додатків, змінити веб-контент або розмістити шкідливі скрипти.

Атаки на адміністративні веб-інтерфейси

Атаки, які націлюються на веб-інтерфейси, які використовуються для керування системами та інфраструктурою (ERP, HVAC, електропостачання), щоб отримати контроль над ними.

Атаки на сайти соціальних мереж

Атаки, які націлюються на соціальні мережі, використовуючи фальшиві профілі для збору інформації, поширення шкідливих скриптів, або для збору конфіденційних даних про компанії та їх співробітників.

Атаки типу «передача хеша» (Pass-the-Hash)

Атаки, що дозволяють зловмисникові отримати доступ до корпоративного домену, используяши зашифровані паролі (хеші), які він отримав.

Що таке експлойт?

Експлойт — це програмне забезпечення, яке використовує вразливості в програмному забезпеченні для отримання несанкціонованого доступу або виконання несанкціонованих дій.

Що таке шкідливий скрипт?

Шкідливий скрипт — це програмний код, який розроблений для виконання шкідливих дій, таких як крадіжка даних, перехоплення контролю над системою або руйнування системи.

Study Notes

Cybersecurity Triad

• Confidentiality, integrity, and availability are fundamental principles of cybersecurity
• Cybersecurity incidents involve exploiting vulnerabilities and breaching established security levels in information communication systems

Types of Cybersecurity Incidents

• Confidentiality breaches: Unauthorized access to information systems, data manipulation, and unlawful interception.
• Fraud and forgery: Computer-based document falsification and scams.
• Illegal content dissemination: Distribution of unlawful information on networks.
• Intellectual property infringements: Violations related to copyright and related rights

Cybersecurity Incident Management Model

• ModelIKC = (INC, SEC, CRI, KBS, X, Y, S, DMF, AGT, ARS,TRS, IRS, MST, T, SYN)
  • INC: Handling internal and external incidents
  • SEC: Security objectives
  • CRI: Criteria for evaluating security status
  • KBS: Knowledge base of internal and external incidents
  • X: Input influences
  • Y: Response to internal and external incidents
  • S: System state
  • DMF: Decision-making function (response)
  • AGT: Set of intelligent mobile agents
  • ARS: Set of IT security resources available to agents
  • TRS: Test set of IT security resources
  • IRS: Incident-oriented resource sets
  • MST: Incident management strategy
  • T: Time
  • SYN: Self-organization

Types of Incidents (Internal and External)

• Internal incidents: Originate from a party directly involved with the affected entity. Example: leak of confidential information, unauthorized access, sabotage, inappropriate use of company resources for personal/fraudulent gain.
• External incidents: Originate from a party not directly involved with the affected entity. Example: Phishing, denial-of-service attacks (DoS/DDoS), brand misuse, malicious code distribution, intrusion attempts.

Methods of Impact

• Direct: Direct attack on the system, e.g., hacking a server.
• Indirect: Indirect actions resulting in system damage, e.g., malware infecting a system.

Incident Classification (Q Codes)

• QA: Unauthorized access or interception (e.g., hacking, data theft)
• QD: Data modification (e.g., malware, logic bombs)
• QF: Computer fraud (e.g., phishing, scams)
• QR: Illegal copying (e.g., piracy)
• QS: Computer sabotage (attacks on software/hardware)
• QZ: Other computer crimes (e.g., disclosure of trade secrets)

Cybersecurity Incident Management Process

• Incident Detection: Identifying and recording events that may be security incidents.
• Assessment and Analysis: Evaluating events for indications of harmful activities.
• Response: Mitigating and resolving issues based on assessment findings..
• Recovery: Returning systems and data to their original, secure state.
• Reporting: documenting investigations and actions taken

Key Cybersecurity Threats

• Phishing: Attempts to fraudulently obtain sensitive information.
• Malware: Software intended to damage or disrupt systems.
• Social Engineering: Manipulating individuals into compromising security.