O’zbekiston Xalqaro Islom Akademiyasi
Islom Iqtisodiyoti va Xalqaro Munosabatlar
fakulteti KI yo’nalishi 2- kurs talabasi
Arolov Muzaffar
“Ethical hacking (Madaniyatli xakkerlik)” fanidan tayyorlagan
12-Laboratoriya ishi
Qabul qildi: Dadamuxamedov A.
Toshkent 2023
12-Laboratoriya ishi
Mavzu: Incident Response: Voqea javobi protsedurani oʻrganish va voqealarga javob berish.
Ishdan maqsad: Incident Response: Voqea javobi protsedurani oʻrganish va voqealarga javob berish.
Amaliy tajriba ishini bajarishda zaruriy vositalar va axborot manbalari ta’minoti:
har bir tinglovchi uchun ishchi stansiya va ajratilgan kompyuter sinfi.
Ijtimoiy tarmoq bo’yicha ma’lumotlar, internet tarmog’i.
ma’ruza materiallari.
Adabiyotlar ro’yxati.
Hech qanday tizim nosozliklarsiz ishlay olmaydi. Har doim ish jarayonida apparat, dasturiy ta'minot yoki foydalanuvchi harakatlarining ishlashi bilan bog'liq muammolar paydo bo'lishi xavfi mavjud. Biz axborot xavfsizligi intsidentlarini axborot xavfsizligining bir yoki bir nechta istalmagan hodisalari deb ataymiz, buning natijasida biznes faoliyati buzilgan va axborot xavfsizligiga tahdid solishi mumkin.
Axborot xavfsizligi intsidentlarining oqibatlari biznes jarayonlarining uzilishi, ob'ekt aktivlarining maxfiyligi, yaxlitligi yoki mavjudligining buzilishi bo'lishi mumkin, bu esa o'z navbatida samaradorlikning yo'qolishiga, moddiy xarajatlar yoki obro'-e'tiborga putur yetkazadi.
Voqealarning sodir bo'lishidan butunlay qochish deyarli mumkin emas, lekin siz paydo bo'layotgan axborot xavfsizligi hodisalariga qanday to'g'ri munosabatda bo'lishni o'rganishingiz va shunga o'xshash hodisalarning takrorlanish ehtimolini minimallashtirishingiz mumkin.
Voqealarga qarshi kurashish uchun hodisaga javob berish jarayonini, ya'ni tashkilot infratuzilmasidan kiberhujum yoki ma'lumotlar sizib chiqishini aniqlash va to'xtatish oqibatlarini bartaraf etish bo'yicha chora-tadbirlar majmuini to'g'ri qurish kerak. Shu bilan birga, javob choralarining asosiy maqsadi hodisadan ko'rilgan zararni minimallashtirish, shuningdek, tashkilotni imkon qadar tezroq va eng kam xarajat bilan normal ishlashga qaytarish imkonini beradi.
Shunday qilib, biz uchun nafaqat hodisalarni tezda aniqlash, balki ularning oqibatlarini tezda bartaraf etish ham muhimdir. Buning uchun biz hodisalarga javob berishning asosiy bosqichlarini ko'rib chiqamiz.
Javob bosqichlari
An'anaga ko'ra, hodisaga javob berish jarayonida oltita asosiy bosqich mavjud:
Tayyorgarlik
Identifikatsiya
Saqlash
Tugatish
Ishga qaytish
Yaxshilash
Tayyorgarlik
Hodisalarga qanchalik tayyorgarlik ko'rish mumkin - bu ochiq savol. Mumkin bo'lgan muammoli vaziyatlarning stsenariylari bilan qanchalik yaxshi ishlaganimizdan qat'iy nazar, hali yuzaga kelgan muammoga duch kelish xavfi doimo mavjud. Biroq, bu bosqichda biz sodir bo'lishi mumkin bo'lgan barcha turdagi axborot xavfsizligi hodisalarini hisobga olishimiz kerak.
Faraz qilaylik, biz allaqachon resurslarimizni inventarizatsiya qildik, tahdid modelini yaratdik va endi biz hodisalarga javob rejasini tayyorlashimiz kerak.
Identifikatsiya
Hodisaga javob berishni boshlashdan oldin, bu sodir bo'lganligini bilishimiz kerak. Boshqacha qilib aytganda, biz voqeani aniqlashimiz kerak. Hodisalarni aniqlash uchun biz turli manbalardan kelgan hodisalarni tahlil qilishimiz, ularni qoidalar to'plamiga muvofiqligini tekshirishimiz kerak.
Agar hodisalar qoidaga mos kelsa, hodisa avtomatik ravishda yaratiladi. Hodisalar oqimining bunday tahlili avtomatik ravishda SIEM (Security Information Event Management) sinf yechimlari va ularning UBA/UEBA reenkarnasyonlari tomonidan amalga oshiriladi.
Saqlash
Voqealarning rivojlanishini tezda to'xtatish har doim ham mumkin emas. Shunday qilib, zararli dasturlarning tez tarqalishini to'xtatish uchun tarmoqning qolgan qismidan zararlangan mashinalar bo'lgan segmentlarni ajratish kerak.
Ushbu bosqichda asosiy vazifa tahdidning butun tarmoq bo'ylab yanada tarqalishining oldini olishdir. Hozircha tahdidni butunlay yo'q qilish haqida gap yo'q.
Tugatish
Hodisani lokalizatsiya qilib, barcha kerakli dalillarni saqlaganimizdan so'ng, biz hodisa oqibatlarini bartaraf etishni boshlashimiz kerak. Agar bizda muhim serverlar yoki ko'p sonli ish stantsiyalari buzilgan bo'lsa, bu resurslarning uzoq vaqt ishlamay qolishi biznes jarayonlariga salbiy ta'sir ko'rsatishi va zarar yetkazishi mumkin. Shuning uchun, ta'sirlangan resurslarni imkon qadar tezroq xizmatga qaytarish kerak.
Ko'pincha, tugunlarning funksionalligini tiklash uchun siz tizimni qayta tashkil qilish va zaxiradan tiklashga (agar mavjud bo'lsa) murojaat qilishingiz kerak. Qayta tiklashda, ta'sirlangan hisoblarning parollarini o'zgartirish zarurati haqida unutmang, chunki bu bunday hodisalarning takrorlanishini oldini olish uchun zarur qadamlardan biridir.
Ammo, yuqorida aytib o'tilganidek, ushbu bosqichda keyingi tergov uchun zarur bo'lgan dalillarni saqlab qolish muhimdir. Ko'pgina zamonaviy zararli dasturlar va xakerlik vositalari fayl tanasiga ega bo'lmasligi mumkin. Ya'ni, operatsiya uchun zarur bo'lgan barcha kod jabrlanuvchining kompyuterining xotirasida joylashgan. Va elektr ta'minoti uzilib qolgan taqdirda, tergov uchun muhim ma'lumotlar yo'qoladi. Shuning uchun, buzilgan tugunlarni izolyatsiya qilishda ularga quvvatni o'chirmaslik juda muhimdir. Izolyatsiya qilishning eng yaxshi yo'li xostlarni o'zlarining izolyatsiya qilingan segmentiga yoki VLAN-ga joylashtirishdir.
Yaxshilash
O'rganilgan darslar qadamini turli yo'llar bilan tarjima qilish mumkin. Bu qadamning mohiyati shundan iboratki, biz kelajakda shunga o‘xshash voqealar sodir bo‘lishining oldini olishimiz kerak. Yoki hech bo'lmaganda kelajakda shunga o'xshash hodisalarni hal qilish ancha kam vaqt talab qilishiga ishonch hosil qiling. Buning uchun aynan nima sodir bo'lganini tahlil qilishimiz kerak. Shu bilan birga, “Kim aybdor?” degan abadiy savolga berilib ketmaslik kerak, chunki bu holda biz voqea sabablari haqida to'g'ri xulosa chiqarish o'rniga, biz turli xil odamlar o'rtasida oddiy janjal kelib chiqishi xavfini tug'diramiz. bo'limlari.
IRT - "Incident Response Team" - "Incident Response Team"
IRT kiberxavfsizlik muammolarini hal qilish uchun maxsus guruhdir. Jamoa faqat kiberxavfsizlik bo'yicha mutaxassislardan iborat bo'lishi mumkin, ammo boshqa guruhlardan resurslar jalb qilinsa, hamkorlikni sezilarli darajada yaxshilashi mumkin. Quyidagi birliklarga ega bo'lish muayyan vaziyatlarda jamoangiz ishiga qanday ta'sir qilishi mumkinligini ko'rib chiqing:
Dasturiy vositalar tizim ma'murining eng yaxshi do'sti bo'lib, to'g'ri vositadan foydalanish tezroq va samaraliroq ishlashga yordam beradi.
Hodisalarni tekshirish oson ish emas, chunki dalillarni olish va javob rejasini ishlab chiqish uchun imkon qadar ko'proq ma'lumot to'plashingiz kerak. Hodisalarni tekshirish uchun bir nechta foydali vositalar.
|