Короткие инструкции реагирования на инциденты ИБ

Здесь, собраны короткие инструкции реагирования на инциденты ИБ . В материале не рассматриваются конкретные инструменты с помощью которых вы можете обнаружить данные угрозы – рассмотрен примерный порядок действий при таком обнаружении.

Локальная сеть

Взлом принтера или ИП телефона:

• Отключить принтер от сети

• Подключить локально

• Сменить-установить  пароль

• Перенастроить – выполнить сброс к заводским настройкам

При обнаружении – удалении трояна с компьютера:

• Временная блокировка сетевого трафика на раб. станции до выяснения обстоятельств

• Проведение полной антивирусной проверки (штатным антивирусом)

• Проведение дополнительной антивирусной проверки(не штатным антивирусом)

• Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)

• Проверка процессов с помощью утилит  sysinternols 

При выявлении постороннего устройство (например рабочей станции):

• Выявить ип адрес – ДНС имя

• Просканировать nmap или другим сканером портов

• Собрать информацию о станции с помощью других утилит либо средствами межсетевого экрана

• Установить  местоположение устройства в ДМЗ

• Если постороннее устройство находится в офисе выключить до выяснения обстоятельств – кто-то из сотрудников может принести свое. Изымать не рекомендую так, как может быть расценено как кража.

• Если оно не из локальной сети заблокировать по ип и мак адресу (зависит от вас – можно ставить первым пунктом, но если станция физически не в защищаемом периметре – узнать о ней больше может не получится – злоумышленник может отключиться)

Сетевой червь:

• Блокировка компьютера средствами межсетевого экрана либо отключение от локальной сети

• Установления всех АРМ на которые был распространён черв – и  их блокировка сетевого соединения до удаления черве

• Удаления сетевого червя

• Проверка в изолированной сети – на распространение и заражения других пк

• Проверка в тестовом локальном контуре с подключением по ВПН

• Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)

• Проверка процессов с помощью утилит  sysinternols

• В случае установленного факта заражения, но невозможностью антивируса удалить с АРМ червя – переустановить систему

Синий экран:

• Установка ошибки

• Решение ошибки без переустановки

• Переустановка системы

• Если установка не требуется и проблема в заражении пк полная антивирусная проверка в safe mode

Шифровальщик:

• При обнаружении зашифрованного устройство – отключить его от локальной сети для исключения возможности дальнейшего распространения

• Посмотреть возможность для расшифровывания раб станции

• Переустановка ОС в случаи невозможности расшифровки

• Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)

• Проверка процессов с помощью утилит  sysinternols

При обнаружении бут кита:

• Выявить пользователя с зараженным компьютером

• Отключить компьютер из сети  и изъять его

• Заблокировать учетные записи пользователя и доступы

• Заменить мат плату на компьютере

• Проверить на заражения компьютеры в том же сегменте

RAT:

• Отключаем компьютер от сети

• Переустанавливаем ОС

• Подключение к Интернет не в песочнице проверка анализатором трафик (Waireshark)

• Проверка процессов с помощью утилит  sysinternols

• Проверить утилитами на наличие буткитов 

Если у вас замечания или уточнения по материалу статьи, пишите буду рад любым комментариями.