W nomenklaturze dotyczącej bezpieczeństwa IT, incydenty oznaczają wszelkie zdarzenia, które zagrażają bezpieczeństwu systemu IT w firmie lub instytucji. Incydentami określa się zdarzenia zaistniałe lub takie, które mogą wystąpić w przyszłości. Ich źródło może być zewnętrzne – np. atak wirusa, atak hackerski (włamanie do systemu), wyciek istotnych danych z firmy lub wewnętrzne – nieprzestrzeganie lub naruszanie istotnych procedur bezpieczeństwa, załamanie wydolności lub przerwa w pracy struktury IT z powodu braku zasilania, zalania lub innego uszkodzenia, czy przypadkowe usunięcie istotnych danych z działających serwerów.
Wg zaleceń amerykańskich organizacji dbających o bezpieczeństwo rządu USA, reagowanie na incydenty powinno przebiegać w następujących etapach:
Przygotowanie
W etapie przygotowania tworzy się mechanizmy analizy incydentów i podstawy bezpieczeństwa IT w organizacji.
Wykrycie incydentu
W etapie tym następuje wykrywanie poszczególnych incydentów. Występujące zdarzenie nie musi zagrażać bezpieczeństwu, dlatego należy określić, czy dane zdarzenie jest incydentem i w jakim stopniu zagraża bezpieczeństwu.
Reakcja na incydent
Oznacza opanowanie incydentu, usuwanie jego skutków i naprawę systemu.
Czynności post-incydentalne = Analiza incydentu
To jeden z najważniejszych etapów postępowania w przypadku wystąpienia incydentu. Jego odpowiednie przeprowadzenie może i powinno służyć wyciąganiu wniosków i uszczelnianiu systemu bezpieczeństwa IT w organizacji. Postępowanie w trakcie tego etapu powinno obejmować zabezpieczenie dowodów, przygotowanie dokumentacji zdarzenia, na podstawie której następować będzie późniejsza oraz ich faktyczna analiza. Niezmiernie ważne jest by z dowodami elektronicznymi postępować w sposób właściwy, tak by zachować ciągłość łańcucha dowodowego. Tylko wówczas (jeśli incydent zakończy się procesem sądowym) zgromadzone materiały będą miały wartość dowodową.
- wywiad środowiskowy z zarządem oraz służbami odpowiedzialnymi za bezpieczeństwo IT
- zabezpieczanie materiału dowodowego z zachowaniem łańcucha dowodowego
- ustalanie przebiegu wydarzeń incydentu
- ustalanie źródeł incydentu oraz ewentualnych narzędzi i metod ataku, jakie wystąpiły w jego trakcie
- ocenę skutków incydentu dla szczelności systemu
- przygotowanie raportu podsumowującego działania.
- incydentów w systemach i infrastrukturze IT
- przypadków nadużyć finansowych
- przypadków phishingu i wykorzystania złośliwego kodu
- stosowania oprogramowania typu malware
- naruszania procedur bezpieczeństwa wewnętrznego
Nasze doświadczenie w zakresie informatyki śledczej gwarantuje Ci profesjonalizm i pewność, że raport będzie mieć wartość dowodową.