W nomenklaturze dotyczącej bezpieczeństwa IT, incydenty oznaczają wszelkie zdarzenia, które zagrażają bezpieczeństwu systemu IT w firmie lub instytucji. Incydentami określa się zdarzenia zaistniałe lub takie, które mogą wystąpić w przyszłości. Ich źródło może być zewnętrzne – np. atak wirusa, atak hackerski (włamanie do systemu), wyciek istotnych danych z firmy lub wewnętrzne – nieprzestrzeganie lub naruszanie istotnych procedur bezpieczeństwa, załamanie wydolności lub przerwa w pracy struktury IT z powodu braku zasilania, zalania lub innego uszkodzenia, czy przypadkowe usunięcie istotnych danych z działających serwerów.

Wg zaleceń amerykańskich organizacji dbających o bezpieczeństwo rządu USA, reagowanie na incydenty powinno przebiegać w następujących etapach:

Przygotowanie

W etapie przygotowania tworzy się mechanizmy analizy incydentów i podstawy bezpieczeństwa IT w organizacji.

Wykrycie incydentu

W etapie tym następuje wykrywanie poszczególnych incydentów. Występujące zdarzenie nie musi zagrażać bezpieczeństwu, dlatego należy określić, czy dane zdarzenie jest incydentem i w jakim stopniu zagraża bezpieczeństwu.

Reakcja na incydent

Oznacza opanowanie incydentu, usuwanie jego skutków i naprawę systemu.

Czynności post-incydentalne = Analiza incydentu

To jeden z najważniejszych etapów postępowania w przypadku wystąpienia incydentu. Jego odpowiednie przeprowadzenie może i powinno służyć wyciąganiu wniosków i uszczelnianiu systemu bezpieczeństwa IT w organizacji. Postępowanie w trakcie tego etapu powinno obejmować zabezpieczenie dowodów, przygotowanie dokumentacji zdarzenia, na podstawie której następować będzie późniejsza oraz ich faktyczna analiza. Niezmiernie ważne jest by z dowodami elektronicznymi postępować w sposób właściwy, tak by zachować ciągłość łańcucha dowodowego. Tylko wówczas (jeśli incydent zakończy się procesem sądowym) zgromadzone materiały będą miały wartość dowodową.

VS DATA specjalizuje się w analizie incydentów. Zgromadzone dane i ich analiza zawarta w raporcie pozwoli Ci podjąć odpowiednie działania naprawcze i korygujące zmierzające do poprawy bezpieczeństwa IT. Nasze działania obejmują:

  • wywiad środowiskowy z zarządem oraz służbami odpowiedzialnymi za bezpieczeństwo IT
  • zabezpieczanie materiału dowodowego z zachowaniem łańcucha dowodowego
  • ustalanie przebiegu wydarzeń incydentu
  • ustalanie źródeł incydentu oraz ewentualnych narzędzi i metod ataku, jakie wystąpiły w jego trakcie
  • ocenę skutków incydentu dla szczelności systemu
  • przygotowanie raportu podsumowującego działania.
Wykonujemy analizy:

  • incydentów w systemach i infrastrukturze IT
  • przypadków nadużyć finansowych
  • przypadków phishingu i wykorzystania złośliwego kodu
  • stosowania oprogramowania typu malware
  • naruszania procedur bezpieczeństwa wewnętrznego

Nasze doświadczenie w zakresie informatyki śledczej gwarantuje Ci profesjonalizm i pewność, że raport będzie mieć wartość dowodową.

Straciłeś dane?
Nic straconego!