5.3.2. Типы инцидентов
Помимо идентификации инцидента нужно определить область и воздействие проблемы. Важно корректно идентифицировать границы инцидента, для того чтобы эффективно его проанализировать и расставить приоритеты реагирования.
Для того чтобы идентифицировать область и воздействие надо определить набор критериев, которые соответствуют данному узлу и типу доступных соединений. Ниже представлены некоторые вопросы:
- Охватывает ли данный инцидент несколько узлов?
- Инцидент затронул много ЭВМ вашего узла?
- Вовлечена ли важная (чувствительная) информация?
- Что является входной точкой атаки (сеть, телефонная линия, локальный терминал и т.д.)?
- Вовлечена ли пресса?
- Каков потенциальный ущерб инцидента?
- Каково ожидаемое время улаживания инцидента?
- Какие ресурсы нужны на ликвидацию инцидента?
- Подразумевается ли привлечение юридической поддержки?
5.3.3. Оценка ущерба и его масштаба
Анализ ущерба и масштаба инцидента может занять много времени, но непременно должен вести к пониманию природы инцидента и иметь целью расследование и нахождение виновника. Как только обнаружено проникновение, вся система и все ее компоненты оказывается под подозрением. Системное программное обеспечение является наиболее вероятной мишенью. Подготовленность является ключом для способности детектировать все изменения возможно поврежденной системы system. Это включает контрольное суммирование всех носителей, используя алгоритм, устойчивый для злоупотреблений (смотри разделы 4.3).
Предполагая, что данные о дистрибутивах доступны, должен проводиться анализ всех системных файлов, и любые нерегулярности должны регистрироваться и передаваться всем вовлеченным в инцидент. В некоторых случаях может быть очень трудно решить, какая из резервных сред демонстрирует корректное состояние системы. Предположим, например, что инцидент может продолжаться месяцы или годы, прежде чем все станет ясно, а подозреваемым может быть сотрудник узла. В любом случае, подготовка к инциденту определяет возможность преодоления последствий инцидента.
Если система поддерживает централизованное ведение журнальных файлов (как правило, это так), просмотрите записи и ищите любые необычные события. В меньшей мере, на инцидент может пролить свет использование диска. Аккаунтинг может предоставить много полезной информации при анализе инцидента и последующего поиска виновника.