Как сообщить об инцидентах компьютерной безопасности в MU
Опубликовано: 19.09.2023
Эффективный инцидент безопасности требует быстрого и комплексного реагирования, которое зависит от беспроблемного сотрудничества между пользователем, сообщившим о таком инциденте, администраторами затронутых систем и командой безопасности организации.
По этой ссылке впервые кратко представлена команда безопасности CSIRT-MU Масариковского университета. После объяснения того, что можно считать инцидентом безопасности, приводится описание того, как и кому следует сообщать о таком инциденте. Завершите связь конкретными примерами из практики, иллюстрирующими разный характер происшествия, а значит, и адресата выступления.
2 Что такое CSIRT-MU?
Под аббревиатурой CSIRT-MU группа компьютерной безопасности Университета Масарика (Группа реагирования на инциденты компьютерной безопасности в Университете Масарикаработает на английском языке. Эта команда была создана в отделе безопасности данных VT MU в начале 2009 года. Миссия CSIRT-MU — помогать администраторам и пользователям поддерживать безопасность университета. CSIRT-MU конкретно предоставляет следующие базовые услуги:
- обнаружение сов
- обучение серверов и пользователей,
- внезапный инцидент.
Я пытаюсь сначала получить последнюю услугу изменения по этой ссылке.
3 Как распознать инцидент безопасности?
В конце всего процесса инцидента необходимо признать, что это инцидентбезопасности. Через MU сравнительно легко распознать нарушение законодательства Чешской Республики и других первичных нормативных актов, особенно действия, нарушающие закон об авторском праве, вмешательство в личные права (например, диффамация, клевета). Точно так же киберпреступления и преступления, с которыми он, вероятно, когда-либо сталкивался, например. чрезмерная рассылка неопубликованных электронных писем (спам) и мошеннические попытки исключить доступ к информации и информационным системам (фишинг и фарминг). Несанкционированный доступ к ирригационной системе и потокам можно наблюдать все чаще и реже, когда система перегружена настолько, что обработка земли отвечает законным требованиям. Вышеупомянутое можно считать инцидентами безопасности, и о них следует сообщать.
Однако не всегда очевидно, что имело место нарушение безопасности, и даже опытный пользователь может его вообще не распознать. В таких ситуациях, в случае совой безопасности, мне поможет обнаружение совиных вторжений, осуществляемое службой безопасности университета.
Примеры инцидентов или аномалий безопасности, которыене следует рассматриватьне перечислены:
- найти зараженный файл антивирусом,
- Я получаю неотправленную почту «в обычных пределах»
- укачивание в спальне,
- раскрыл свой пароль,
- «странный» пот,
- украдено, в том числе оборудование с важными данными (в т.ч. флешка, переносной диск и т.п.).
Возможности предотвращения инцидента безопасности четко описаны в техническом отчете CESNET slo 7/2006, доступном на сайте. http://www.cesnet.cz/doc/tezpravy/2006/secprev/cz/.
4 Инцидент с Хленом и координация их действий
Вы должны немедленно сообщить об инциденте безопасности ответственному лицу, чтобы минимизировать его последствия. Администраторы факультета и команда ЦСИРТ-МУ оснащены инструментами для наблюдения за работой станции и способны дать зацепки для поиска преступника (так называемая криминалистическая экспертиза). Ключом к такому анализу является поиск источника потока, защита машин в университете и т. д. и проинформировать организацию.
Общее правило заключается в том, чтоо любом инциденте, который может затронуть более чем один факультет, следует сообщать команде CSIRT-MU, которая позаботится о его координации (см. Рисунок 1). Готовится официальное оформление установления сотрудничества между командой CSIRT-MU и факультетами в форме университетской директивы.
Адрес электронной почты был изменен в связи с общеуниверситетскими инцидентами. [email protected]. За другие инциденты безопасности отвечают лаборатории компьютерных технологий (LVT, CVT, CIKT...) отдельных факультетов. Каждый LVT обычно имеет выделенный контактный адрес.
Инциденты, о которых сообщается команде CSIRT-MU, обрабатываются автоматической системой. 1, что обеспечивает беспроблемное сотрудничество всех заинтересованных лиц.
Журнал инцидентов безопасности должен содержать краткое, но полное описание проблемы. Предпочтительно простое текстовое электронное письмо, отправленное с адреса университета. Если есть вы, то с сюжетом. Тема изначально должна содержать адрес или вымышленное имя затронутого компьютера и тип инцидента (например, фишинг, спам, нарушение авторских прав). Что касается общения по электронной почте, его следует сначала рассматривать как полный и неизмененный заголовок и тело. Мокрота должна содержать основные данные информатора (по крайней мере, имя). Телефон для случаев, когда нет возможности воспользоваться электронной почтой, находится в стадии подготовки.
После каждого чрезвычайного происшествия информатору отправляется электронное письмо с подтверждением употребления алкоголя вместе с уникальным идентификатором (например, CSIRT-MU ). Этот идентификатор должен быть в теме следующего сообщения, чтобы оно было индивидуально связано с ответственным инцидентом. Информатору вообще не нужно беспокоиться об идентификаторах — получая их в почтовом клиенте (Outlook, Thunderbird) в ответ на запрос (кнопка «Ответить»). Однако при любых обстоятельствах информатору также не придется ничего с этим делать, поскольку инцидент обрабатывается без дальнейшей оплаты. Таким образом, единственным сопутствующим сообщением является лишь уведомление об открытом инциденте, которое направляется заявителю после выполнения всех необходимых действий.
5 Депозитов из жизни
5.1 Это не инцидент, даже если бы так могло показаться.
В почтовом ящике пользователя в процессе появится несколько писем с предложением сомнительной продукции, причем некоторые из них, судя по происхождению, исходят от человека, связанного с университетом. По данным УО, научный руководитель узнает, что он студент естественного факультета. Пользователь связывается с сотрудником и просит объяснений. Парень утверждает, что никогда не отправлял подобного письма. Если он этого не сделает, его машина, скорее всего, заражена.
Хотя эта машина представляет собой ограниченную угрозу для всего университета, нет смысла сообщать о ней как об инциденте безопасности преподавателям, включая меня, команде CSIRT-MU. Лучше всего посоветовать студенту решить проблему с возможной помощью компетентных лиц факультета. Было бы разумно сообщить о ситуации как об инциденте, связанном с безопасностью, только если собака все еще гуляла без предупреждения. Администраторы факультетов имеют достаточно рычагов, чтобы убедить пользователей починить свои машины.
5.2 Местный инцидент
Пользователь замечает, что кто-то в спальне отсоединил кабель от настольного компьютера и подключил его к ноутбуку. Это помешает эксплуатации помещений и может привести к несанкционированному доступу к инфраструктуре. О подобных инцидентах следует сообщать в местное отделение факультета и в учебный зал.
5.3 Инцидент, затронувший ячейки MU
Пользователь попытался войти в информационную систему MU. Введите свое имя пользователя и пароль в формулу входа. Пользователь заполняет правильную информацию, но вместо Информационной системы появляется страница с ошибкой. Пользователь заглядывает в адресную книгу и обнаруживает, что ошибся в вводе адреса. http://is.muni.cz вошел http://is. мун .cz. Примечательно, что данный сайт создан с целью обманного получения абитуриентов и пользователей Информационной системы МУ. В этом случае это очень опасный инцидент, и о нем необходимо немедленно сообщить команде CSIRT-MU, чтобы были предприняты два шага для минимизации риска для пользователя. Конечно, не делайте этого за пользователя, потому что он точно не забудет сменить скомпрометированный пароль.
ВТ МУ, последнее изменение 14.11.2011