Вы находитесь на странице: 1из 1

Процесс реагирования на компьютерные инциденты     35

Причины иметь в своем распоряжении процесс реагирования


на компьютерные инциденты
Прежде чем углубиться в детали самого процесса, важно изучить терминоло-
гию, а также определить конечную цель при использовании реагирования на
компьютерный инцидент как части улучшения стратегии безопасности. По-
чему это важно? Используем вымышленную компанию, чтобы дать ответ на
этот вопрос.
На приведенном ниже рис. 2.1 показана временная шкала событий (2), ко-
торая заставляет службу технической поддержки информировать о проблеме
и запускать процесс реагирования.

4 6
2 Пользователь, пытающийся
пройти проверку подлинности Поскольку нет признаков
Пользователь открывает со своего мобильного устройства, компрометации, создается инцидент
подозрительное письмо сообщает, что не может сделать это в области безопасности

Система работала Датчики ничего Служба технической поддержки Реагирование


правильно не обнаруживают приступает к устранению проблемы на инцидент продолжается

1 3 5 7

Рис. 2.1

В следующей таблице приведены некоторые соображения, касающиеся каж-


дого шага в этом сценарии:

Шаг Описание Соображения по поводу безопасности


1 Хотя на диаграмме сказано, что Что считается нормальным? У вас есть исходные данные,
система работает правильно, важно которые могут дать вам доказательства того, что система
извлечь уроки из этого события работает правильно? Вы уверены, что нет никаких
доказательств компрометации до того, как письмо было
открыто?
2 Фишинговые письма по-прежнему В то время как в наличии должны быть технические
являются одним из наиболее средства безопасности для обнаружения и фильтрования
распространенных методов, данного типа атак, пользователей нужно научить
используемых киберпреступниками, идентифицировать фишинговые письма
чтобы побудить пользователей
щелкнуть по ссылке, которая ведет
на вредоносный/скомпрометиро­
ванный сайт