Процесс чрезвычайного реагирования

Как только появилась политика, способная диктовать вам, как реагировать на инцидент, необходимо создать ряд инструментов для ее выполнения. Это затрагивает весь спектр чрезвычайных событий — от незначительных сетевых шалостей до полномасштабного вторжения. Среди этих инструментов — технические средства сетевого криминалиста, ваш опыт, система отслеживания инцидентов, которую мы обсудим в дальнейших разделах. Главной технической частью процесса урегулирования инцидентов является Сетевая криминалистика. Для большинства инженеров по сетевой безопасности это наиболее интересный аспект. Однако, как и в любой работе, урегулирование инцидентов на 20 процентов — интересная работа; на остальные 80 — тяжелый труд. Наверное, одной из причин, по которым криминалистическая часть расследования наиболее интересна, является ее сложность. Сетевая криминалистика требует глубоких познаний в том, как работает расследуемая вами операционная система. Вам нужно знать, как файлы хранятся на диске, как различные процессы влияют друг на друга, как настраивается программное обеспечение и какие виды событий можно или нужно отслеживать. И все эти параметры необходимо знать применительно к каждой операционной системе… Существует бесчисленное множество комбинаций операционных систем, приложений и их конфигураций. Каждое новое приложение дает новые возможности для сбора разведывательной информации. Теперь, когда у вас есть предписанные процедуры чрезвычайного реагирования, инструментарий, материально-техническое обеспечение, возможности для обучения, вам понадобится система отслеживания происходящих инцидентов. Такая система должна регистрировать не только факты непосредственного вторжения, но и его попытки, а также интересные примеры трафика, обнаруженные IDS.