サーバーでのハッキングの可能性の後に何が調査されますか?
私の質問は、ソニーのハッキング事件の最近のニュースに続いています。警備会社やFBIがどのような捜査を行っているのか気になっていました。たとえば、ネットワークサーバーがハッキングされた場合、最初に何をしますか?潜在的な送信を停止するために、すべてのサーバーネットワークをシャットダウンしますか。侵害がマルウェアによって引き起こされた場合、分析中にそれをどのように効果的に阻止できますか?サンドボックスの使用には制限があります。現在のデータはすべて、物理的に分離された新しいマシンと仮想マシンで実行されますか?
この質問に答えるには長すぎるかもしれないと感じていますが、短い手順で十分であり、可能であれば、より詳細なプロセスへのリンクがあります。結局、答えはハックのソースを見つけることですが、ハックのソースの特定に至るまでの調査でどのようなステップが行われるか
これは主に組織のポリシーに依存しますが、あなたが話しているのはインシデントレスポンス(IR)で、これは コンピュータセキュリティインシデント管理 の包括的な用語に該当します。
通常、行われる対応は、攻撃の種類、既知の攻撃者(存在する場合)、および侵害されていることがわかっている個々のシステムまたはネットワーク地域によって異なります。これらは重要な違いです-危害を受けた受付のワークステーションで、危害を受けた生命維持システムや産業用制御システムと同じ行動を取ることはありません。
IRの主な手順は次のとおりです。
- 警告-誰かが潜在的な違反が発生したことをチームに通知します。
- 分類-ファーストレベルのレスポンダは、脅威のレベルを特定するために予備分析を実行し、脅威のクラス(たとえば、通常、クリティカルなど)に対して所定のIR手順を実行します。
- アクション-影響を受けるシステムの分離とクリーンアップ。バックドアが確実に閉じられ、元の穴にパッチが適用されます。
- 調査-脅威の出現方法の特定、攻撃者の属性など.
次に、これらを分割して、特定の状況に関連するように並べ替えることができます。場合によっては、組織は回復と継続のみに関心があるため、調査フェーズは最小限であるか、スキップされます。他の場合では、法的手続きが考慮される場合があるため、地方裁判所で承認されていることが知られているツールを使用して、一連の強力な証拠を提供するために特別な注意が払われます。より強力な属性を取得するために攻撃者の行動をリアルタイムでログに記録して監視するために、アクションステップでマシンのクリーニングがまったく行われない場合があります。
要するに、答えは、それは組織と状況に依存するということです。 IRが白黒になることはめったにありません。