There are to present Incident response chapter from course CompTia CSA+

1. Senior SOC Analyst
ANDRIY SHEVCHENKO, Ph.D.
CompTIA Cybersecurity Analyst
(CySA+)
Реагування на інциденти

2. • CSSP – Analyst
• CSSP – Incident Responder
• CSSP – Infrastructure Support
• CSSP – Auditor
• IAT II / IAT II
CSSP - Cybersecurity Service Provider
IAT - Information Assurance Technician
Рекомендації Міністерстава оборони США щодо сертифікації категорій
професій.
Катергої професій (рекомендації
8570.01-M):
2 https://certification.comptia.org/it-career-news/post/view/2017/11/29/dod-approves-comptia-cybersecurity-analyst-why-it-matters?ht=comptia-
cybersecurity-career-path

3. 27%: Threat Management
26%: Vulnerability Management
23%: Cyber Incident Response
24%: Security Architecture and Tool Sets
Chapter 1: Defending Against Cybersecurity Threats
Chapter 2: Reconnaissance and Intelligence Gathering
Chapter 3: Designing a Vulnerability Management Program
Chapter 4: Analyzing Vulnerability Scans
Chapter 5: Building an Incident Response Program
Chapter 6: Analyzing Symptoms for Incident Response
Chapter 7: Performing Forensic Analysis
Chapter 8: Recovery and Post-Incident Analysis
Chapter 9: Policy and Compliance
Chapter 10: Defense-in-Depth Security Architectures
Chapter 11: Identity and Access Management Security
Chapter 12: Software Development Security
Chapter 13: Cybersecurity Toolkit
Зміст курсу та вимоги до сертифікації
3
Exam Codes CS0-001
Launch Date February 15, 2017
Exam Description The CompTIA Cybersecurity Analyst (CySA+) certification verifies that
successful candidates have the knowledge and skills required to configure
and use threat detection tools, perform data analysis and interpret the
results to identify vulnerabilities, threats and risks to an organization, with
the end goal of securing and protecting applications and systems within
an organization.
Number of Questions Maximum of 85 questions
Type of Questions Multiple choice and performance-based
Length of Test 165 minutes
Passing Score ​750 (on a scale of 100-900)
Recommended Experience Network+, Security+ or equivalent knowledge. Minimum of 3-4 years of
hands-on information security or related experience. While there is no
required prerequisite, CySA+ is intended to follow CompTIA Security+ or
equivalent experience and has a technical, hands-on focus.
Languages English, Japanese, and Simplified Chinese
​Retirement TBD - Usually three years after launch
Price $​349 USD (See all pricing)

4. Література для підготовки до CompTIA CySA+
4

5. Співвідношення між поняттями «Подія безпеки» та «Інцидент безпеки»
5
Несприятлива подія – будь-яка подія яка має негативний наслідок.
Подія безпеки – будь-яке спостерігаєме явище яке
відноситься до функцій безпеки.
Інцидент безпеки – це порушення і неминуча загроза порушення
політики компьютерної безпеки
(інформаційної безпеки), політики
використання або стандартних практих
безпеки.

6. CSIRT
CSIRT (Computer Security Incident Response Team) – команда
реагування на події компьютерної безпеки.
CSIRT ≡ CERT ≡ SOC
(принципової відмінності немає)
CSIRT – команда професионалів, відповідальних за обробку
інцидентів безпеки в організації за допомогою стандартизованих
процедур реагування на інциденти.
6

7. Фази реагування на інциденти
7
Процес реагування на інциденти це не проста послідовність подій від
початку і до кінця, він включає цикли, які є нормальною частиною
процесу.

8. Підготовка
Етап підготовки призначений для побудови надійного кіберзахисту для
зниження імовірності та впливу від майбутніх інцидентів.
Підготовка влючає:
 підбір та навчання команди;
 підготовка команди до ефективного реагування на інциденти;
 розробку документації (плану та політики реагування на інциденти,
процедури, плейбуки);
 підбір та налаштування інструментів проведення розслідування
інцидентів тощо.
8

9. Рекомендований набір інструментів
Апаратне та програмне забезпезпечення для проведення аналізу
інциденту:
 Цифрова робоча стація для форензики та/або засоби резервного копіювання
 ПЗ для форензики
 Ноутбуки
 Запасні робочі станції, сервери, мережне обладнання чи засоби віртуалізації
 Чисті носії інформації
 Портативні принтери
 Пакетні сніфери і аналізатори протоколів
 Флеш-накопичувачі
 Аксесуари для збору даних (кабелі, перехідники тощо)
NIST 800-61 Computer Security Incident Handling Guide
9

10. Рекомендований набір інструментів
Зв’язок та засоби обробці інцидентів:
 Контактна інформація
 Контактна інформація CSIRT
 Механізми доповіді про інцидетти
 Системи відстеження інцидентів (Issue tracking system)
 Телефони
 ПЗ для криптографічного захисту інформації (шифрування)
 Ситуаційна кімната (War room)
 Безпечне сховище
10

11. Рекомендований набір інструментів
Ресурси для аналізу інцидентів:
 Список портів
 Документація
 Схема мережі та перелік критичних активів
 Базові шаблони поведінки засобів
 Криптографічні хеши
ПЗ для відновлення:
 Образи ОС, ПЗ тощо.
11

12. Виявлення та аналіз
Етап виявлення та аналізу найбільш важливий, складний та рутиний
етап.
Основні категорії джерел подій безпеки:
 оповіщення (Alert);
 логи;
 доступна публічна інформація;
 люди.
12

13. Рекомендації NIST щодо підвищення ефективності аналізу інцидентів
1. Створення профілів мережі та систем для вимірювання характеристик очикуємої
активності.
2. Отримання розуміння про нормальну поведінку користувачів, систем, мереж,
додатків.
3. Створення політики ведення логів.
4. Здійснення кореляції подій від декількох джерел.
5. Синхронізація часу серверів, робочих станцій, мережних пристроїв.
6. Розробка та ведення бази даних організації, яка містить критичну інформацію про
системи та додатки.
7. Запис мережного трафіку як найшвидше під час виявлення інциденту.
8. Фільтрація інформація для зменшення її засміченості.
9. Залучення сторонніх джерел для полегшення аналізу.
13

14. Стримування, викорінення та відновлення
На етапі здійснюються активні дії щодо стримування ефекту від
інциденту, викорінення інциденту з мережі та відновлення нормального
функціонування.
Підготовка влючає:
 вибір стратегії стримування, що відповідає інциденту;
 застосування вибраної стратегії стримування для обмеження збитку
внаслідок інциденту;
 збір додаткових доказів для забезпечення процесуальних дій;
 визначення порушника та атакуючу систему;
 ліквідація наслідків інциденту та відновлення нормальних бізнес-
процесів.
14

15. Пост-інцидентні заходи
Інцидент безпеки не закінчується після видалення атакуючого
із системи та відновлення нормального функціонування
системи.
CSIRT переходить до фази виконання пост-інцидентих
заходів.
На етапі пост-інцидентих заходів команда аналізує та
засвоює уроки після інциденту та переконуються, що зібрали
усі необхідні докази.
15

16. Огляд засвоєних уроків.
Під час етапу Огляду засвоєння уроків команда здійснює:
 аналіз інциденту та процесу їх реагування;
 вдосконалення процедур та інструментів для наступних інцидентів.
Форма проведення огляду:
 зустріч;
 онлайн презентація.
Під час зустрічі відбувається розбір інциденту, послідовності та
заходів реагування на інцидент.
Презентацію слід проводити члену команди, який не приймав участі в
реагуванні на інцидент. Це дозволяє з іншої сторони вглянути на
інцидент та порядок реагування на нього.
16

17. Питання які слід розглянути під час огляду засвоєних уроків:
 Що саме сталось і в який час?
 На скільки добре працювала команда та менеджер під час реагування на інцидент?
 Чи виконувалось все по процедурам? Чи були вони адекватні?
 Яку інформацію потрібно було отримати швидше?
 Чи були виконані дії або кроки які б могли завадити відновленню?
 Що команда або менеджер будуть робити по іншому під час наступного
аналогічного інциденту?
 Як може бути покращено обмін інформацією з іншими організаціями?
 Які коригувальні дії могут запобігти схожі інциденти в майбутньому?
 За якими індикаторами слід спостерігати для виявлення схожих інцидентів в
майбутньому?
 Які додаткові засоби та ресурси необхідні для детектування, аналізу та мінімізації
наступних інцидентів?
17

18. Збереження доказів
На етапі Збереження доказів здійснюються збір великої кількості
доказів реалізації інциденту.
 Збираються зовнішні та внутрішні докази.
 Процедура збору доказів повинна виконуватись у відповідності до
Політики та вимог стандартів.
 Докази збираються для можливого представлення в суді.
Рекомендується зберігати данні за період 2-3 роки.
Після завершення пост-інцидентної активності CSIRT деактивується, а
цикл управління інцидентом повертається до етапу підготовки.
18

19. Створення бази для Реагування на інциденти
Однієї з головних вимог для організації під час
етапу Підготовки є створення грунтовної
політики та процедур
необхідних для
Програми реагування на іциденти.
19

20. Політика
Політика реагування на інциденти є базою для Програми
реагування на інциденти.
► Програма реагування на інциденти:
 дії Керівництва на високому рівні;
 описує компетенції та повноваження та щодо реагування на
інциденти;
 затверджується Генеральним директором (СЕО) або Дирекотором
по інформаційним технологіям (CIO)
 повинна бути написана в загальній манері і затверджується на
великий період часу.
20

21. Рекомендації щодо вмісту Політики реагування на інциденти:
 зобов’язання керівництва;
 мета та цілі політики;
 межі політики;
 визначення термінів;
 оргацізаційна структура та визначення ролей, відповідальність,
повноваження;
 схема встановлення пріоритетності (важливості) інцидентів;
 становления приоритетов Инцидента;
 показники діяльності CSIRT;
 вимоги щодо звітності;
 контактна інформація.
21

22. Процедури та Playbooks
► Процедури містять деталізовану інформацію, покрокову
інструкцію яка необхідна для членів CSIRT під час реагування
на інциденти.
Процедури зачастую розробляються у вигляді плейбуків
(Playbooks)!
► Плейбуки – специфічні процедури яким слідують члени
CSIRT під час специфічних видів інцидентів кібербезпеки.
Плейбуки розробляються для основних, найбільш частих
категорій інцидентів.
22

23. План реагування на інциденти
План реагування на інциденти
повинен акцентувати уваги на
інструментах, які дозволять
отримати та швидко прочитати
інформацію під час кризисної
ситуації.
План реагування на інциденти
повинен постійно тестуватись!
Огляд Процесу реагування на
інциденти 
23

24. Створення CSIRT
Основна команда + профільні спеціалісти
У великих організаціях до основної команди CSIRT входять працівники
які працюють на повний робочий день.
CSIRT може включати:
 технічних спеціалістів
 працівники ІТ підтримки
 юристи
 спеціалісти HR
 спеціалісти по роботі з громадкістю
 маркетологи.
24

25. Сфера контролю CSIRT
Для визначення сфери контролю CSIRT слід визначити з відповідями на
наступні питання:
 Що є тригером для активації CSIRT?
 Хто має право активувати CSIRT?
 Яку частину організації покриває CSIRT?
 Чи уповноважений CSIRT здійснювати комунікацію з
правоохороними органами, зовнішніми організаціями?
 Як здійснюється внутрішня комунікація CSIRT?
 Повноваження та дії CSIRT під час ескалації конфлікту?
25

26. Класифікація інцидентів. Рекомендації NIST.
Вектори атак які використовуються в класифікації загроз:
 зовнішні та змінні носії інформації;
 виснаження;
 веб;
 електронна пошта;
 перевтілення;
 неправильне використання;
 втрата або крадіжка обладнання;
 невідомі;
 інші.
26

27. Класифікація тяжкості інциденту
27
Функціональний вплив
Економічний вплив
Відновлювальні зусилля
Інформаційний вплив (приватна компанія)

28. Дякую за увагу!