Hoppa yfir valmynd

Fyrstu viðbrögð í atvikum

Yfirsýn 

  • Virkið viðbragðsáætlanir og viðeigandi starfsfólk
  • Hver eru smitáhrifin?
    • Hefur þetta áhrif á aðeins einn eða marga notendur?
      • Hefur notandinn meiri réttindi en hefðbundinn notandi eða er þetta kerfisstjóraaðgangur?
    • Eitt eða mörg kerfi?
  • Hvert er megin markmið atviksins?
    • Fjárkúgun, er verið að krefjast lausnargjalds eftir að brotist hefur verið inn í kerfi og t.d. þau dulkóðuð eða því hótað að leka gögnum?
    • Skemmdarverk, er tilgangurinn aðeins til þess að eyðileggja búnað, gögn eða raska þjónustu?
    • Þjófnaður, er tilgangurinn að komast yfir gögn sem aðilinn á ekki að hafa aðgang að eins og hugverkum, viðkvæmum upplýsingum eða er verið að stunda njósnir?
  • Innbrotsleið
    • Er hægt að komast að því hvernig árásaraðilinn komst inn í kerfi í fljótu bragði? Ef ekki, þá er hægt að skoða það síðar í ferlinu
       

Einangrun 

  • Fljótleg viðbrögð, markmiðið er að takmarka skaða með því að t.d. afvirkja sýkta notendaaðganga, taka niður kerfi ef hægt er, rjúfa netsamband eða takmarka netumferð.
  • Afritun, greining á orsök atvika byggir á upplýsingum úr kerfum áður en þau eru endurheimt. Ef kostur gefst takið skyndimynd (e. snapshot) af sýktum búnaði eða útstöðvum og varðveitið önnur gögn. Sé ætlunin að leggja fram kæru getur verið nauðsynlegt að varðveita gögn með formlegum hætti
  • Láta þjónustuaðila ykkar vita að atvik hafi komið upp þannig að hægt sé að hækka öryggisstig kerfa og virkja viðbragðsáætlanir ef við á
     

Hreinsun 

  • Skanna eftir spillikóða
  • Hreinsa kerfi og enduruppsetja þau aftur frá grunni eða afritum
  • Huga þarf að afritum og ganga úr skugga að þeim hafi ekki verið spillt eða spillikóða komið fyrir í þeim
  • Leita eftir óeðlilegri umferð og aðgerðum í kerfum eins og spillivísum svo sem IP tölum tengdum atvikinu og skrám sem tilheyra spillikóðanum t.d. út frá tætigildum (e. hash value)
  • Á þessu stigi þarf að reyna að komast að því hvernig árásaraðilinn komst inn í kerfið ef það er ekki komið í ljós. Þetta er nauðsynlegt svo sagan endurtaki sig ekki þegar kerfið hefur verið gert aðgengilegt aftur
  • Loka öllum þekktum öryggisholum með uppfærslum eða breyttum stillingum
  • Uppfæra kerfi og hugbúnað
     

Endurheimt 

  • Prufa og staðfesta að kerfi séu hrein og virki eins og áætlað er
  • Koma kerfum aftur upp og gera aðgengileg á skipulagðan hátt
  • Fylgjast náið með kerfum eftir að þeim hefur verið komið aftur upp og halda þeirri vöktun áfram í einhvern tíma
     

Lærdómur 

  • Rannsaka nánar hvað varð til þess að þetta atvik átti sér stað
  • Læra af því sem gerðist og betrumbæta núverandi kerfi og ferla til að koma í veg fyrir að sama atvik geti átt sér stað aftur
  • Deilið reynslu og upplýsingum um atvik eins og hægt er meðal jafningja. Það gefur öðrum tækifæri til viðbragðs og getur einnig verið ykkur gagnlegt
  • CERT-IS getur verið tengiliður til að deila upplýsingum með öðrum án þess að ykkar án þess að þær séu tengdar við ykkur