web-dev-qa-db-ja.com

ddos攻撃後にレポートを作成する方法は?レポートにどのような情報を書き込む必要がありますか?

私の会社では、サーバーに対するDDOSの後で、雇用主から攻撃の分析を行い、いくつかのことを書き留めるように依頼されました。

私は私のレポートに何を書き留める必要があると思いますか?
インシデントの後で使用できるCIRTまたは別の組織から利用可能なテンプレートはありますか?
この種のレポートのベストプラクティスは何ですか?

最初の分析で、攻撃が計画されている場所を見つけました(IRCチャネル))。
使用したツールと、ツールをダウンロードできるURLに関する情報を見つけました。
攻撃はLOICで行われ、ボットネットではありません(実際に知っているように)。
攻撃は階層的な組織なしで計画されましたが、小さなマニフェストの共有とIRCターゲットの情報と攻撃の時間を含むJPGのTwitter。
私はまた、この攻撃の周りの人々についていくつか書き留める必要がありますか?

なにか提案を?

してください:1つの提案、1つの回答。コミュニティのベストプラクティスを最後に行うことができます:)

attacksincident-responseddos
16
boos

良いリンクがなくて申し訳ありませんが、私の考えはあなたがカバーしたいです:

どうしたの?

  • それはいつ起こりましたか、そしてそれはどのくらい続きましたか?
  • 誰がどのようにそれをしましたか?
  • 何が影響を受けましたか-どのサイト、どのサーバー、何台のサーバー、ビジネスのどの部分ですか?どんな顧客?
  • 根本原因分析

どのような影響がありましたか?

  • サーバーの損傷
  • 情報の損傷/公開
  • 企業の評判の低下
  • 人間の生命へのダメージ(これは間違いなく、指を交差させることです!!!)
  • 回収コスト(時間、設備など)

停止/防止

  • これまでに何が行われましたか?即時対応と継続的な更新に分けます
  • 他に何をすべきですか?
  • これが再び起こるという予測は何ですか?
  • このようなものはどうですか、まったく同じではありませんか?
  • この種のリスクを防止/軽減するために将来のプロセスに加えることができる変更はありますか?

過去/現在/未来に割り込む-私たちはすぐに何をしましたか、私たちは今何をしていますか、高レベルの資金を必要とする将来的にすべきこと

将来の予後

  • レポートのすべてを実行すると、将来の攻撃に対するシステムのありそうな状態はどうなりますか。おそらく「防弾」ではないので、可能性をある程度評価してください。
  • システムを現在の(部分的に修正された)状態のままにしておくとどうでしょうか?
22
bethlakshmi