Управління інцидентами ІБ

Questions and Answers

Яка з наведених дій не є зовнішнім інцидентом?

• Фішинг
• Дослідження мережевої безпеки
• Керування внутрішніми процесами (correct)
• Шахрайство в системах електронного документообігу

Який з наведених ідентифікаторів Інтерполу відповідає комп'ютерному шахрайству?

• QF (correct)
• QA
• QR
• QD

Яка з наведених загроз стосується неправомірного доступу до даних?

• Фішинг
• Злам мережних вузлів (correct)
• Дослідження порту
• Анонімні листи

Яке з наведених дій є ознакою комп'ютерного саботажу?

Зміна комп'ютерних даних (C)

Яка з наведених загроз найбільше пов'язана з атаками типу DoS або DDoS?

Атака на доступність системи (D)

Що є основною характеристикою внутрішнього інциденту?

Джерелом є порушник, безпосередньо пов’язаний із постраждалою стороною. (D)

Які дії не входять до процесу управління інцидентами інформаційної безпеки?

Складання звітів про прибутки. (D)

Яка з наведених практик допомагає забезпечити безпеку інформації?

Обмеження прав процесів у системах. (A)

Яка дія є першим кроком при виявленні порушення кібербезпеки?

Зареєструвати інцидент. (A)

Яке програмне забезпечення потрібно використовувати для захисту від вірусів?

Регулярно оновлюване ліцензійне антивірусне ПЗ. (B)

Яке з наведених заходів може бути неефективним для забезпечення безпеки?

Ігнорування оновлень програмного забезпечення. (D)

Який з цих етапів не є частиною процесу реагування на інциденти?

Забезпечити навчання співробітників. (C)

Що є причиною виникнення зовнішнього інциденту?

Дії порушника, не пов'язаного із постраждалою стороною. (C)

Який з наведених пунктів описує початкові дії, що потрібно зробити після виявлення інциденту?

Повідомити службу інформаційної безпеки. (C)

Яким чином можна забезпечити безпечний доступ до ресурсів мережі?

Налаштування брандмауера (Firewall). (D)

Яка дія є ключовою для збереження доказової бази під час обробки інциденту?

Зберігати та документувати всі докази. (C)

Що з наведеного не є типом внутрішнього інциденту?

Фізичне пошкодження обладнання. (C)

Яка дія є завершальним етапом реагування на інциденти?

Підготувати звіт і рекомендації. (C)

Який з цих етапів передбачає взаємодію між усіма залученими сторонами?

Забезпечити взаємодію між усіма залученими сторонами. (C)

Який етап включає в себе створення плану дій на основі зібраної інформації?

Сформувати групу для розслідування. (D)

Що необхідно зробити після збору доказів для відновлення системи?

Відновити працездатність системи. (D)

Flashcards

DoS атака

Напад, який спрямований на перевантаження системи або мережі, щоб зробити її недоступною для користувачів.

Комп'ютерне шахрайство

Незаконна дія, з метою отримання вигоди або шкоди.

Перехоплення трафіку

Несанкціоноване перехоплення даних, що передаються по мережі.

Фішинг

Шахрайська схема, яка використовує соціальну інженерію та електронні листи для отримання особистої інформації користувачів.

Несанкціонований доступ

Доступ до комп'ютерної системи або даних без дозволу власника.

Внутрішній інцидент

Інцидент, де порушником є особа/група, пов'язана з постраждалою стороною.

Зовнішній інцидент

Інцидент, де порушником є особа/група, не пов'язана з постраждалою стороною.

Інцидент

Подія, що порушує безпеку ІКС.

Управління інцидентами

Процес реакції на події, що порушують безпеку ІКС.

Ліцензійне антивірусне ПЗ

Важливе для захисту, регулярно оновлюване програмне забезпечення.

Політика управління паролями

Правила, що обмежують доступ до облікових записів.

Криптографічний захист

Системи шифрування даних.

Карти кіберзагроз

Інструмент для аналізу атак і вибору стратегій захисту.

Ідентифікація інциденту

Визначення та підтвердження факту IT-інциденту.

Локалізація інциденту

Визначення частини IT-інфраструктури, задіяної в інциденті.

Обмеження доступу

Встановлення обмежень доступу до уражених об'єктів, що зупиняє розповсюдження інциденту.

Залучення фахівців

Залучення фахівців для отримання порад і допомоги в вирішенні інциденту.

Група розслідування

Створення групи для системного розслідування, складання плану та документації.

Збереження доказів

Збереження та документування всіх доказів, пов'язаних з інцидентом.

Відновлення системи

Поновлення працездатності системи після завершення збору доказів.

Використання копій

Робота лише з копіями даних, щоб зберегти доказову базу.

Study Notes

Інциденти ІБ

• Інцидент - подія, що реалізує загрозу, порушуючи безпеку ІКС.
• Внутрішній інцидент - порушник пов'язаний з постраждалою стороною.
• Зовнішній інцидент - порушник не пов'язаний з постраждалою стороною.

Управління інцидентами ІБ

• Аналіз рівнів ІБ.
• Оцінка ефективності заходів безпеки.
• Впровадження коригувальних, попереджувальних або інших заходів.

Передумови успішного захисту

• Ліцензійне та оновлене антивірусне ПО.
• Політика управління паролями, блокування облікових записів та криптозахист.
• Обмеження прав процесів у системах.
• Шифрування даних засобами ОС.
• Кіберзагрозний аналіз для вибору стратегії захисту.
• Заборона запуску несертифікованого ПЗ.
• Обмеження доступу до ресурсів та програм.
• Вчасно налаштований Firewall для безпечного доступу в мережу.

Дії при кіберинцидентах

• Ідентифікувати та підтвердити факт порушення.
• Визначити область ураження ІТ-інфраструктури.
• Обмежити доступ до уражених об'єктів.
• Повідомити службу ІБ.

Найпоширеніші внутрішні інциденти

• Несанкціонований доступ до інформації.
• Витік конфіденційної інформації.
• Вилучення інформації.
• Компрометація інформації.
• Саботаж.
• Шахрайство з використанням ІТ.
• Аномальна мережна активність.
• Аномальне поводження бізнес-додатків.
• Використання ресурсів установи в особистих цілях або у шахрайських цілях.

Найпоширеніші зовнішні інциденти

• Шахрайство в системах електронного документообігу.

• DoS (DDoS).

• Перехоплення та підміна трафіку.

• Неправомірне використання бренду установи в інтернеті.

• Фішинг.

• Розміщення конфіденційної (провокаційної) інформації в інтернеті.

Злам або спроба зламу

• Злам або спроба зламу мережних вузлів.
• Сканування порталу установи або мережі, вірусні атаки.
• Несанкціонований доступ до конфіденційної інформації.
• Анонімні листи (мети з погрозами).

Інтерпол класифікація

• QA - несанкціонований доступ/перехоплення.
• QD - зміна комп'ютерних даних.
• QF - комп'ютерне шахрайство.
• QR - незаконне копіювання ("піратство").
• QS - комп'ютерний саботаж.