Вы находитесь на странице: 1из 1

Обработка инцидента     41

наружения должна знать о векторах атаки, а, поскольку ландшафт угроз меня-


ется очень быстро, система обнаружения должна быть в состоянии динамиче-
ски получать больше информации о новых угрозах и новом поведении, а также
запускать оповещение при обнаружении подозрительных действий.

ДЕЯТЕЛЬНОСТЬ
ПОДГОТОВКА ОБНАРУЖЕНИЕ СДЕРЖИВАНИЕ
ПОСЛЕ ИНЦИДЕНТА

Рис. 2.3

Хотя многие атаки будут автоматически определяться системой обнаруже-


ния, конечный пользователь играет важную роль в  выявлении и  сообщении
о проблеме в случае подозрительной активности.
По этой причине конечный пользователь также должен знать о  различ-
ных типах атак и понимать, как вручную создавать запрос об инциденте для
устранения такого поведения. Это то, что должно быть частью тренинга по
безопасности.
Даже если пользователи усердно следят за подозрительной активностью
и есть датчики, настроенные на отправку предупреждений при обнаружении
попытки компрометации, наиболее сложной частью процесса реагирования
по-прежнему остается точность определения того, что действительно является
инцидентом в области безопасности.
Часто нужно вручную собирать информацию из разных источников, чтобы
увидеть, действительно ли полученное вами предупреждение отражает по-
пытку эксплуатировать уязвимость в системе.
Помните, что сбор данных должен осуществляться в соответствии с полити-
кой компании. В тех случаях, когда вам необходимо представить данные в суд,
нужно гарантировать целостность данных.
На рис. 2.4 показан пример, в котором необходимо объединить и сопоста-
вить несколько журналов, чтобы определить окончательную миссию злоумыш­
ленника.