LMS Smart Alliance
LMS Smart Alliance
Înapoi la Curs

12.10 Investigarea și remedierea incidentelor de securitate

0% Complet
0/0 Pași
  1. Incident de securitate – terminologie
  2. Mecanisme de detecție a incidentelor de securitate cibernetică
  3. Investigatii efectuate la nivel de SOC
  4. Investigare sau colectare informatii din surse deschise
  5. Demonstratie practica – investigare incident de securitate cu ajutorul solutiei Darktrace

Provocari

12.10 Investigarea și remedierea incidentelor de securitate Incident de securitate – terminologie
Sectiune 1 de 5
In Desfasurare

Incident de securitate – terminologie

Oana Anghel aprilie 30, 2025

Evenimentele de securitate sunt acele apariții identificate care indică o posibilă încălcare a politicii de securitate, un eşec al măsurilor de protecţie sau o situaţie ignorată anterior, dar relevantă din punct de vedere al securităţii.

Un incident este un eveniment care poate genera o situaţie, un caz sau o întâmplare care influenţează starea de securitate.

Un incident de securitate reprezintă un eveniment de securitate sau o serie de evenimente de securitate care au o probabilitate semnificativă de a compromite activităţile organizaţiei şi care necesită o acţiune imediată pentru restabilirea situaţiei anterioare.

Incidente cibernetice
Vectori de infecție

Infractorii cibernetici ajung să folosească metode din ce în ce mai avansate pentru a implementa vectori de atac care sunt nedetectabili și dificil de neutralizat. Un rol important în acest caz îl joacă tehnologiile de anonimizare și utilizarea tehnologiilor distribuite.

Sursa: cloudflare.com
Sursa: f-secure.com
Sursa: trendmicro.com
Sursa: malwarebytes.com

 

NIST vs SANS
INCIDENT RESPONSE

Managementul incidentelor cibernetice

Abordarea SANS Institute.

Detalierea incidentului de securitate

Pentru ca tratarea unui incident de securitate să se realizeze în bune condiţii, la preluarea acestuia trebuie ca un minim de informații să fie solicitate (puse la dispoziție în cazul proceselor automate), după cum urmează:

  • Informaţii privind entitatea care a raportat incidentul de securitate
  • Informaţii pentru evaluarea priorităţii
  • Informaţii referitoare la incidentul de securitate
  • Identificarea sistemului/sistemelor
  • Detalii utilizatori.

Evaluarea incidentului de securitate

Evaluarea incidentului de securitate este o activitate desfăşurată de către senior security analyst împreună cu personalul specializat din cadrul echipei CERT, ţinând cont de următoarele aspecte:

  • nivelul de degradare al serviciilor;
  • sensibilitatea datelor potențial compromise;
  • proporțiile incidentului de securitate în sensul extinderii și diversității;
  • gradul de ameninţare perceput;
  • sisteme critice afectate;
  • dacă este pusă în pericol viața, siguranța sau sănătatea oamenilor.

Incidentul de securitate evaluat poate fi încadrat într-una din următoarele categorii de prioritate:

Notificare și escaladare

Analiștii din cadrul echipei CERT parcurg următorii pași:

  • Managementul resurselor umane
  • Managementul resurselor materiale
  • Informează directorul tehnic/directorul general în cazul apariției unui incident de securitate critic
  • Prezentarea rapoartelor de activitate
  • Asigură condiţiile de escaladare

Incidentele de securitate care afectează persoane, sisteme critice sau care presupun modificări în procesul de tratare a cazului se escaladează.

Escaladarea reprezintă transferul funcțiilor de decizie.

Minimizarea impactului

Minimizarea incidentului de securitate presupune limitarea extinderii şi a impactului şi constă în restricţionarea accesului la sistemele afectate precum şi înregistrarea datelor în Registrul electronic CERT de către senior security analyst.

Eradicarea și recuperarea

Eradicarea implică identificarea şi eliminarea cauzei principale a incidentului de securitate.

Eradicarea este necesară pentru a elimina componente ale incidentului de securitate.

Recuperarea constă în aducerea echipamentelor la starea normală de operare şi întărirea tool-urilor de securitate pentru a preveni incidente similare.

Analiza incidentului de securitate

Analiza incidentului de securitate trebuie să răspundă la mai multe întrebări, precum:

  • Tipul incidentului?
    Originea incidentului?
    A fost obținut acces neautorizat? La ce nivel?
    Au fost accesate date sensibile?
    Au fost afectate alte resurse ale beneficiarului?

Sunt colectate şi corelate pentru investigare toate informaţiile de interes provenite de la:

  • sistemul/sistemele compromise;
    sistemul de jurnalizare al echipamentelor de reţea: firewall, router, switch;
    sisteme de tip IDS;
    servere web, DNS, mail, antivirus, etc.

Un incident de securitate formulat de echipa CERT este păstrat detaliind metodologia şi rezultatele analizelor.

Închiderea incidentului de securitate

Atunci când este închis un incident de securitate se completează documentaţia aferentă care va conține următoarele informații:
  • cum a fost detectat incidentul de securitate;
  • date:
    – deducerea datelor compromise;
    – data la care a fost detectată compromiterea;
    – data la care incidentul de securitate a fost rezolvat.
  • nume:
    – persoanele implicate şi rolul pe care l-au avut în soluţionarea incidentului de securitate;
    – persoana responsabilă de resursele IT;
    – dacă se cunoaşte, persoana care a compromis datele.
  • domeniu de aplicare:
   – cauza incidentului de securitate;
   – impactul incidentului de securitate;
   – rezoluţia incidentului de securitate.
  • îmbunătăţirile propuse pentru sistemele de securitate.