В одной компании, производящей компьютеры, не было формальной группы реагирования на происшествия. Этим занималась группа обеспечения безопасности, у которой был достаточный набор хорошо отработанных процедур. Кроме того, в компании имелась внутренняя компьютерная помощь в режиме 24/7.
Как-то один инженер в веб-группе заработался допоздна и заметил что-то странное на одной из машин в веб-кластере. Он решил разобраться получше и обнаружил, что машина была взломана и что злоумышленник уже активно изменял внешний вид веб-страниц. Инженер попытался сделать все, чтобы злоумышленник покинул машину и не смог вторгнуться в дальнейшем, но понял, что не в силах противостоять, потому что не знал точно, как злоумышленник проник на машину. Он позвонил в круглосуточную внутреннюю группу поддержки около 2 ч ночи и объяснил, что случилось.
Не зная, как действовать в таких случаях, и не имея контактов службы поддержки группы безопасности для нерабочего времени, он просто написал заявку на устранение неисправности и отправил ее кому-то в груп- пе безопасности. Когда в 8 ч утра пришел администратор безопасности, он обнаружил эту заявку в своей электронной почте и запустил процессы реагирования на инцидент. На этом этапе как инженер, так и злоумышленник устали и ушли спать, что затруднило получение всех подробностей и отслеживание злоумышленника. Инженер чувствовал себя покинутым системными администраторами, потому что он небезосновательно ожидал, что кто-то поможет ему справиться с атакой.
И системные администраторы, и отдел безопасности поступили неправильно, но по-разному. Отдел безопасности поступило неправильно, потому что не предоставил группе внутренней поддержки четких инструкций по сообщению о происшествии в области безопасности. Системные администраторы поступили неправильно, потому что не предприняли попыток сообщить о происшествии, хотя о нем следовало бы сообщить по крайней мере внутри подразделения, если было неизвестно, куда сообщать за его пределами.
После этого происшествия группа безопасности позаботилась о том, чтобы системные администраторы знали, куда сообщать об инцидентах с безопасностью. (Кстати, злоумышленника нашли и успешно наказали за ряд взломов и изменений внешнего вида веб-сайтов, в том числе правительственных. Системному администратору нужно отдыхать от работы для этого подходят http://gamset.net/ онлайн.
Опубликовал Kest
March 04 2012 22:59:36 ·
0 Комментариев ·
5238 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
Нет комментариев.
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
