Sikkerhedshændelseshåndteringsprocedurer

Indlæg af Hanne Mølgaard Plasc

  Så mange mennesker gemmer deres mest private oplysninger online, at de ikke giver en anden tankegang om dens sikkerhed. Det job falder hos IT-fagfolk. I tilfælde af sikkerhedsbrud skal it-fagfolk arbejde hårdt for at sikre, at hændelsen bringes til en hurtig konklusion, og at sådan noget ikke sker igen. Da sikkerhedshændelser desværre er blevet almindelige, har IT-samfundet udviklet visse protokoller til at håndtere dem.

Forberedelse

Administrere en sikkerhedshændelse begynder med at forberede sig på en sådan begivenhed. Computer Security Incidents-Internet 2-arbejdsgruppen anbefaler at oprette eller opdatere kontaktadresser til det relevante personale, der beskæftiger sig med edb-netværkssikkerhed. I stedet for at tilpasse adressen, f.eks. Johnsmith@domainname.com, skal e-mail-adresser holdes generelle og upersonlige, såsom abuse@domainname.com eller security@domainname.com. Hvis John Smith forlader sit indlæg som netværksadministrator, kan hans forgænger muligvis ikke se og åbne den sikkerhedsrelaterede email, hvis den personligt er rettet til Smith, men ikke til ham.

Underretning eller opdatering af ARIN

Computer Security Incidents- Internet 2 Working Group anbefaler også at underrette det amerikanske register over internetnumre (ARIN). ARIN kan give IT-fagfolk, der beskæftiger sig med sikkerhedshændelser, nyttige råd om, hvordan man løser et problem. En administrator og en tekniker skal give et kontaktpunkt for at modtage ARIN-råd.

Identifikation af kompromitterede maskiner

Identificerende værter og maskiner, der er blevet kompromitteret, kan udføres proaktivt eller efter omstændighederne. En række programmer kan registrere netværkstrængninger, som f.eks. Snort og Bro. IT-fagfolk kan også bruge netflow-værktøjer, som indsamler oplysninger om netværksbrugere. Domænenavnesystemer (DNS) logging er en anden måde at spore kompromitterede maskiner på. Computere bruger DNS til at oversætte webadresser til numre. Når du bruger logning, skal it-fagfolk identificere de ondsindede aktiviteter, der gemmer sig i disse logfiler.

Blokerer kompromitterede værter

På internetsprog refererer en 'vært' til en computer, der giver og modtager information til en anden computer på internettet . En computer inficeret med en virus eller styres af en fjendtlig enhed har et par måder at få adgang til et netværk på. Hvis en organisation bruger en dynamisk hostkonfigurationsprotokol (DHCP), kan it-fagfolk beskytte den ved at oprette en sortliste over MAC-adresser (Media Access Control). En MAC-adresse repræsenterer et individuelt hardware netværksknudepunkt. Firewalls, adgangskontrol lister og karantæner til netværksadgangskontrol kan også bruges til at holde kompromitterede værter ude af adgang til et netværk.