Professional Documents
Culture Documents
Securitatea Sistemelor Informaționale: Scenariu
Securitatea Sistemelor Informaționale: Scenariu
Scenariu
“Workmark is a benefits management company with approximately 1,200 employees in a single
facility. The enterprise is highly dependent on their internetworked systems to deliver services to
over 3,000 client organizations. Workmark’s servers are virtualized in two data centers,
providing redundancy and geographic diversity. Headquartered in Denver, Colorado with data
centers in Denver and Texas. All employees work in Denver facility. The data center in Texas is
operated by a third party. Workmark primarily used Microsoft Windows for both server and
desktop operating systems. In each data center, Workmark has 75 virtual Windows servers. Each
data center also hosts five Linux servers and a small number of specialized network appliances.
The Denver office has 800 desktop and laptop computers.The data centers are connected via
redundant virtual private network (VPN) connections. Each desktop and server runs an
antimalware solution that is managed from a central server. Most workstations use hard-wired
Ethernet connections, but the laptop computers and tablets used by the management team
connect to a WPA2-secured Wi-Fi network.
At 2:00 a.m., you receive a call from a junior security analyst who is assigned to the network
security operations center. The network engineers have reported a sudden increase in network
traffic from a virtual machine, including what appears to be port scans of the internal network
and large amounts of egress traffic blocked at the firewall. You ask the junior analyst if he has
declared an incident. He tells you that he was not sure if it was an event or an incident and that
he needs guidance.”1
1
Proiect SSI: http://portal.feaa.uaic.ro/licenta/IE/an3/zsem2/COFI/Documents/Proiect%20SSI.pdf
Page | 1
Cerinte
1. Detail the difference between an event and an incident for the junior analyst.
Describe ways to determine if this is, in fact, an incident or just an event.
Evenimentul Cyber Security înseamnă orice acțiune sau încercare, reușită sau nereușită, de a
obține acces neautorizat, de a perturba sau de a folosi în mod abuziv sistemele electronice ale
unui deținător sau informațiile stocate pe astfel de sisteme.
Evenimentul este cel care vizează facilitățile de tranzit, personalul, informațiile sau sistemele
informatice sau de telecomunicații asociate agențiilor de tranzit. Acestea includ:
sau:
Cyber Security Incident "înseamnă orice eveniment rău intenționat sau suspect care perturbă
sau a fost o încercare de a perturba funcționarea acestor dispozitive electronice programabile și a
rețelelor de comunicații, inclusiv hardware, software și date esențiale pentru funcționarea fiabilă
a sistemului Bulk Power2.
2
Bulk Power System(BPS): https://whatis.techtarget.com/definition/bulk-power-system-BPS
Page | 2
What’s the difference between a Security Incident and an Event?
Security Events Security Incidents
Page | 3
Figura 1-Diferentele dintre eveniment&incident3
3
What’s the difference between a Security Incident and an Event?: https://www.edts.com/edts-blog/whats-the-
difference-between-a-security-incident-and-an-event-infographic
Page | 4
calitate de manager al acestei echipe, ar trebui să fim anunțați(ex: backup, update s.a.-aceste
actiuni fiind programate). Un alt aspect important este reprezentat de faptul că firewall-ul a
stocat cantități mari de date ce ar putea reprezenta o reală/potenţială situaţie de deconspirare
a unor informaţii substanţiale despre clienţi/companie/operaţiunile efectuate sau poate reda
apariţia unor probleme de comunicare prin dispozitive electronice, cum ar fi trimiterea
email-
urilor care conţin informaţii personale.
Necunoscând sursa acestui trafic crescut, acest eveniment nu este ca unul obișnuit putând
avea
urmări negative asupra companiei astfel, îl putem clasifica ca și incident.
2. Describe the appropriate steps within each of the incident response phases above:
a) What should have been included in the preparation phase to prepare for an
incident like this?
Page | 5
Crearea un plan de răspuns la incidente (IRP). Ce ar trebui să facă X-ulescu din
contabilitate dacă crede că este în desfășurare o încălcare a securității? Cui ar trebui să se
adreseze? Cum poate să limiteze riscul unei încălcări dacă descarcă accidental
programele malware? Acestea sunt câteva dintre întrebările la care putem răspunde prin
crearea unui plan de reacție la incidente și prin forarea acestuia în mintea fiecărui angajat
al companiei - de la CEO până la cei care lucrează în liniile frontale ale companiei. În
acest fel, toată lumea știe ce ar trebui să facă în cazul unei încălcări.
Adăugarea de Backup de date. Trebuie să avem cel puțin o formă de rezervă pentru toate
datele cele mai critice ale companiei noastre. Dacă este vorba despre informații vitale
pentru afacerile întreprinderii, trebuie să avem o copie de rezervă în cazul în care
calculatoarele pe care le deținem sunt criptate cu ransomware, șterse accidental de
eroarea umană sau distruse de un dezastru (incendiu, inundații, cutremur etc.). O soluție
ideală de salvare a datelor ar fi o soluție bazată pe cloud care se actualizează frecvent
pentru a asigura o RPO(Recovery Point Objective) relativ recentă (sub 12 ore) și o
RTO(Recovery Time Objective) rapidă care rulează pe servere aflate la distanță de
birourile noastre (în caz de un dezastru natural în care este implicată clădirea de birouri).
Page | 6
Înștiințează despre funcționalitatea instrumentelor de recuperare atunci când vom avea
nevoie de ele.
Dezactivarea tuturor conturilor persoanelor care au plecat din firmă, deoarece acest
incident s-a desfășurat prin intermediul unui cont ce avea accesibilitate deplină
(privileged account). Un cont privilegiat este un cont de utilizator care are mai multe
privilegii decât utilizatorii obișnuiți. Conturile privilegiate ar putea, de exemplu, să poată
instala sau elimina programe, să upgradeze sistemul de operare sau să modifice
configurațiile de sistem sau de aplicații. O modalitate mult mai responsabilă de atribuire a
accesului pe conturi ar trebui realizată de către responsabilul de acest lucru într-o maniera
mai riguroasă, oferind astfel, acces privilegiat la un număr limitat de angajați din
compania Workmark și o descriere în detaliu a termenilor și condițiilor de utilizare a unui
astfel de cont.
b) Which information should be gathered in the detection and analysis phase, and
who should be contacted?
Page | 7
5. Care este scopul atacului?
6. Este vreo operațiune din cadrul companiei afectată?
7. Se cunoaște atacatorul?
După cum a fost scris și în scenariu, evenimentul a avut loc la ora 02:00 AM și a fost sesizat de
către un analist junior de la centrul de securitate a operațiilor din rețea. Modul în care acest
incident s-a descoperit a fost prin înregistrarea de către o mașina virtuală a traficului intens, ce a
dus la blocarea unor pachete mari de date( de ieșire) de către firewall. Scopul acestui atac nu
poate fi cu exactitate determinat, totuși ne putem da seama că atacatorul a încercat să
fure/sustragă informații secrete din cadrul companiei Workmark. Nici identitatea atacatorului nu
a putut fi determinată, deși se cunoaște că a fost un atac din interior(se cunoaște contul de pe care
s-a realizat acest incident).
În cadrul acestei companii, Workmark, persoana ce ar trebui contactată în urma unui incident ar
fi administratorul de rețea.
Page | 9
Incidentele mici necesită o analiză limitată după incident, cu excepția incidentelor efectuate prin
metode noi de atac, care prezintă o preocupare și un interes major. După ce au avut loc atacuri
grave, este de obicei util să se țină întâlniri post-mortem care depășesc limitele echipei și
organizației pentru a oferi un mecanism de schimb de informații. Principala preocupare în
organizarea unor astfel de întâlniri este asigurarea implicării persoanelor potrivite. Nu numai că
este important să fie invitate persoane care au fost implicate în incidentul analizat, dar este, de
asemenea, înțelept să se ia în considerare cine ar trebui să fie invitat pentru a facilita o cooperare
viitoare.
Page | 10