Pro správnou reakci na bezpečnostní incident jsou potřeba přesné informace o jeho průběhu. Konkrétní otázky lze zodpovědět na základě forenzní analýzy napadených systémů. Odpovědi pak mohou následně posloužit zejména k objasnění vektoru útoku (šíření malware), prokázání porušování směrnic a provozních řádů uživatelem nebo zmapování nakládání se specifikovanými dokumenty.
Výsledky analýzy pomohou bezpečnostním manažerům, týmům typu CSIRT a administrátorům systémů při zvládání bezpečnostního incidentu a minimalizaci jeho následků.
Analýza událostí je reakcí na již probíhající nebo proběhlý bezpečnostní incident. První kroky analýzy (zajištění dat) by měly být provedeny co nejdříve po zjištění bezpečnostního incidentu, protože s postupem času mohou elektronické stopy zanikat. Většina zmizí v řádu hodin až dní, ale u některých druhů incidentů jsou relevantní stopy přítomné v rozumném množství i několik týdnů až měsíců od zkoumané události.
Při typickém průběhu analýzy
V poskytnutých vstupních datech budou nalezeny odpovědi na položené otázky.
Analýzou můžete například získat odpovědi na otázky,
Tento výčet rozhodně není konečný. Stačí aby indicie k odpovědi byly přítomny ve zkoumaných digitálních datech.
Pro lepší představu, jak tato služba funguje v praxi, můžete nahlédnout do případové studie Analýza malware pro CSIRT.
Řešíte závažný bezpečnostní incident a potřebujete znát detailní informace o jeho průběhu? Kontaktujte nás, domluvíme si vše potřebné. Můžete se také podívat na popis dalšího postupu.
Zde jsou uvedeny odpovědi na časté otázky týkající se analýzy událostí. Můžete si také přečíst otázky a odpovědi k dalším tématům.
Ano, typicky jsou analyzovány podezřelé přílohy podvodných e-mailů, nalezené spustitelné soubory a obfuskované skripty.
Vždy záleží na objemu zpracovávaných dat a také na otázkách, na které je potřeba hledat odpovědi. Typická analýza bezpečnostního incidentu zabere cca dva týdny. Nejrychlejší případ byl analyzován za méně než jeden týden, nejnáročnější případ včetně analýzy nalezeného malware zabrala téměř tři měsíce.
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz