Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Incident and Disaster Response Chapter 9. Orientation In previous chapters, we have looked at threats, planning, and response In this chapter, we complete.

Benzer bir sunumlar


... konulu sunumlar: "Incident and Disaster Response Chapter 9. Orientation In previous chapters, we have looked at threats, planning, and response In this chapter, we complete."— Sunum transkripti:

1 Incident and Disaster Response Chapter 9

2 Orientation In previous chapters, we have looked at threats, planning, and response In this chapter, we complete the discussion of the plan- protect-respond cycle Response planning is necessary because defenses can never stop all attacks. Companies must respond appropriately when attacks happen or natural disasters occur Copyright Pearson Prentice-Hall 20102

3 Oryantasyon Daha önceki bölümlerde, tehlikeler, planlamalar ve müdahalelere baktık Bu bölümde plan-koruma-müdahale döngüsünün üzerinde duracağız Müdahale planlaması gereklidir çünkü savunma bütün saldırılarda asla dururamayabilir. Şirketler saldırı olur olmaz veya daoğal bir afet olur olmaz hemen müdahale etmelidir Copyright Pearson Prentice-Hall 20103

4 4 Plan (Chapter 2) Protect (Chapters 3-8) Respond (Chapter 9)

5 9-1: Example: Wal-Mart and Hurricane Katrina The Situation – Hurricane Katrina devastated New Orleans in 2005 Followed shortly by Hurricane Rita – The U.S. Federal Emergency Management Administration (FEMA) botched the relief effort  Wal-Mart is the largest retai-chain in US ◦ Supplied many relief aids ◦ What Was Wal-Mart’s Process? Copyright Pearson Prentice-Hall 20105

6 9-1: Örnek: Wal-Mart ve Katrina Kasırgası Durum – Katrina Kasırgası, 2005 yılında New Orleans’ı harap etti Followed shortly by Hurricane Rita – ABD Federal Acil Durum Yönetimi İdaresi (FEMA) yardım çalışmalarını berbat etti  Wal-Mart ABD'nin en büyük perakende- zinciridir ◦ Pekçok yardım çalışmalarını destekler ◦ Wal-Mart Süreci neydi? Copyright Pearson Prentice-Hall 20106

7 9-1: Example: Wal-Mart and Hurricane Katrina Wall-Mart Business Continuity Center – A permanent department with a small core staff – Activated two days before Katrina hit – Before computer network went down, sent detailed orders to its distribution center – Recovery merchandise for stores – Uninterrupted Power Supplies (UPS) for stores – Loss-prevention employees to secure stores Copyright Pearson Prentice-Hall 20107

8 9-1: Örnek: Wal-Mart veKatrina Kasırgası Wall-Mart İş Sürekliliği Merkezi – Küçük bir çekirdek kadro ile sürekli bir bölüm – Katrina vurmadan iki gün önce önce açıldı – Bilgisayar ağı çökmeden önce, kendi dağıtım merkezine detaylı emirler gönderdi – Mağazalar için kurtarılmış mallar – Mağazalar için Kesintisiz Güç Kaynakları (UPS) – Loss-prevention employees to secure stores Copyright Pearson Prentice-Hall 20108

9 9-1: Lessons from Wal-Mart and Hurricane Katrina Incidents Happen – Protections can break down occasionally – Successful attacks are called security incidents, breaches, or compromises Preparation – Full-time director of business continuity – Detailed business continuity plans – Clear lines of responsibility for all – Relied on telephone to contact its stores and others Response – Stores came back to business within days – Engaged police to preserve order Copyright Pearson Prentice-Hall 20109

10 9-1: Wal-Mart ve Katrina kasırgasından dersler Kaza olduğunda – Bazen korumalar kırılabilir – Başarılı saldırılara güvenlik kazaları, ihlaller ve uzlaşmalar denir. Hazırlık – Tam zamanlı iş sürekliliği yöneticisi – Ayrıntılı iş sürekliliği planları – Bütün için sorumlulukta net çizgiler – Depolar ve diğerleri ile bağlantı telefona dayalıydı Müdahale – Mağazalar gün içinde geri işe başladı – Düzeni korumak için tutulmuş polisler Copyright Pearson Prentice-Hall

11 9-2: Incident Response Incident Severity – False alarms Apparent compromises are not real compromises Also called false positives Waste time and may dull “vigilance” – Major incidents Beyond the capabilities of the on-duty staff Must convene a Computer Security Incident Response Team (CSIRT) CSIRT needs participation beyond IT security Copyright Pearson Prentice-Hall

12 9-2: Olaya Müdahale Olayın şiddeti – Yanlış alarmlar Belli olan tavizler gerçek tavizler değildir Yanlış pozitif denir Boşa harcanmış zaman ve dikkati dağıtabilri – Önemli olaylar Görevdeki personeli kapasitesinin ötesinde Bilgisayar Güvenliği Olay Müdahale Ekibi (CSIRT) toplamak lazım CSIRT IT güvenliği ötesinde bir katılıma ihtiyaç duyar Copyright Pearson Prentice-Hall

13 9-2: Incident Response Incident Severity – Disasters Fires, floods, hurricanes, major terrorist attacks Must assure business continuity – Maintaining the day-to-day operations of the firm – Need a business continuity group headed by a senior manager IT disaster response plan – May be a subset of business continuity plan – May be a stand-alone IT disaster recover plan Copyright Pearson Prentice-Hall

14 9-2: Olaya Müdahale Olayın şiddeti – Afetler Yangın, sel, kasırga, büyük bir terör saldırısı İş sürekliliği sağlamalı – Firmanın gündelik işlemlerinin yürütülmesi – Üst düzey bir yöneticinin başkanlığında bir iş sürekliliği grubuna ihtiyaç var IT afet müdahale planı – İş sürekliliği planının küçük bir alt kümesi olabilir – Bir özerk IT afet kurtarma planı olabilrir Copyright Pearson Prentice-Hall

15 9-3: Rehearsals for Speed and Accuracy Speedy response can reduce damage – Attacker will have less time to do damage – The attacker cannot penetrate deeply into the system and become very difficult to detect Accuracy is very important – Common mistake is to act on incorrect assumptions – If mis-diagnose or wrong approach, can make things much worse Copyright Pearson Prentice-Hall

16 9-3: Hız ve doğruluk için Provalar Hızlı müdahale zararı azaltır – Saldırganın zarar vermek için daha az zamanı olacak – Saldırganın sistemi derinlemesine nüfuz edemez ve tespiti çok zor hale gelir Doğruluk çok önemlidir – Yaygın bir hata yanlış varsayımlar üzerine hareket etmektir – Yanlış teşhis veya yanlış bir yaklaşım ise, çok daha kötü şeyler yapabilir Copyright Pearson Prentice-Hall

17 9-3: Rehearsals for Speed and Accuracy  Planning Before an Incident or Disaster ◦ Decide what to do ahead of time ◦ Have time to consider matters thoroughly and without the time pressure of a crisis ◦ During an attack, human decision-making skills degrade ◦ Incident response is reacting to incidents according to plan ◦ Within the plan, need to have flexibility to adapt Copyright Pearson Prentice-Hall

18 9-3: Hız ve doğruluk için Provaları  Bir afet veya olaydan önce planlama ◦ Decide what to do ahead of time ◦ Kriz deki zaman baskısı olmadan iyice düşünmeye vakit var ◦ Bir saldırı sırasında, insan karar becerileri azalır ◦ Olay müdahale olalara karşı tepki verir plan doğrultusunda ◦ plan içinde, uyum esnekliğine sahip olması gerekir Copyright Pearson Prentice-Hall

19 9-3: Rehearsals for Speed and Accuracy Team Members Must Rehearse the Plan – Rehearsals find mistakes in the plan – Practice builds speed Types of Rehearsals – Walkthroughs table-top exercises – Live tests (actually doing planned actions) can detect problems with the plan Copyright Pearson Prentice-Hall

20 9-3: Hız ve doğruluk için Provaları Ekip Üyeleri Planı prova etmek zorunda – Provalar plan içinde hataları bulmak içindir – Pratik yapmak hız sağlar Provalar Türleri – Walkthroughs (gidiş yolları-çözümler) masa başı egzersizleri – Canlı testler (actually doing planned actions) plandaki problemelri tespit eder Copyright Pearson Prentice-Hall

21 9-4: The Incident Response Process: I Detection, Analysis, and Escalation – Detecting through technology or people Need good intrusion detection technology All employees must know how to report incidents – Analyzing the incident to guide subsequent actions Confirm that the incident is real Determine its scope: – Who is attacking? What are they doing? How sophisticated?, etc – Escalate (if serious incident) Pass to the CSIRT, the disaster response team, or the business continuity team Copyright Pearson Prentice-Hall

22 9-4: Olay Müdahalesiişlem: I Tespit etme, Analiz ve Eskalasyon – Tespit etme: Teknoloji veya insanlar aracılığıyla Iyi sızma algılama teknolojisine ihtiyacınız var Tüm çalışanların olayları nasıl raporlayacağını bilmesi gerekir – Analiz: sonraki eylemlere rehberlik edecek olaylar olayın gerçek olduğunu onaylamak Kapsamını belirmek: – Kim saldırıyor? Ne yapıyorlar? Nasıl gelişmiş?, vb – Eskalasyon: (ciddi olay ise) CSIRT e geçiş, afet müdahale ekibi, ya da iş sürekliliği takım Copyright Pearson Prentice-Hall

23 9-4: The Incident Response Process: I Containment – Disconnection of the system from the site network or the site network from the Internet (damaging) Harmful, so must be done only with proper authorization This is a business decision, not a technical decision – Black-holing the attacker (only works for a short time) – Continue to collect data (allows harm to continue) to understand the situation Especially necessary if prosecution is desired Copyright Pearson Prentice-Hall

24 9-4: Olay Müdahalesiişlem: I Içerme – Sistemi internet(zarar veren) içeren ağdan yada ağdan ayırmak Zararlı, çok uygun bir yetkilendirme ile sadece yapılmalıdır Bu bir ticari karardır, teknik bir karar değil – Black-holing the attacker (sadece kısa bir süre için çalışır) – Veri toplamak için devam(zarar almaya devam et)durumu anlamak için Özellikle kovuşturma isteniyorsa gerekli Copyright Pearson Prentice-Hall

25 9-4: The Incident Response Process: I Recovery – Repair during continuing server operation Avoids lack of availability – Data restoration from backup locations – Software reinstallation of OS and applications may be necessary Manual reinstallation of software – Need installation media and product activation keys – Must have good configuration documentation before the incident Reinstallation from a disk image (reduce time and effort) Apology – Acknowledge responsibility – Explain potential inconvenience and harm in detail – Explain what actions will be taken to compensate Copyright Pearson Prentice-Hall

26 9-4: Olay Müdahalesiişlem: I Kurtarma – Onarım sunucu çalışması devam ederken yapılır – Kullanılabilirlik eksikliklerini engelle – Yedek yerlerden Veri restorasyon – OS ve uygulamaların yazılım yükleme gerekebilir Yazılımı Manuel yükleme – Yükleme ortamına ve ürün etkinleştirme anahtarlarını ihtiyacınız var – olaydan önce iyi yapılandırılmış belgeler olmalı Bir disk görüntüsü (zaman ve çaba azaltmak) için yeniden yükmeke Özür – sorumluluk kabulü – olası sıkıntı ve zararı ayrıntılı olarak açıklamak – Explain potential inconvenience and harm in detail – Telafi etmek için alınacak eylemlerin açıklayınız Copyright Pearson Prentice-Hall

27 9-5: The Incident Response Process: II Punishment – Punishing may be needed Warning, salary cuting, demoting, firing Union agreements may limit actions or at least require more carefully designed/detailed processes – The decision to pursue criminal prosecution Must consider cost and effort Must consider probable success if pursue (often attackers are minors or foreign nationals) Loss of reputation because the incident becomes public Copyright Pearson Prentice-Hall

28 9-4: Olay Müdahalesiişlem: II Ceza – Cezalandırıyor gerekebilir Uyarı, maaş kesmesi, seviye indirme, işten çıkarma Toplu iş sözleşmeleri veya eylemler sınırlayabilir en azından daha dikkatle tasarlanmış / ayrıntılı süreçleri gerektirir – ceza kovuşturmasına devam etmeye karar vermek Maliyet ve çaba düşünülmelidir Uhtemel başarı düşünülmeli eğer takip edilirse Itibar kaybı çünkü olaylar halk tarafından duyulur Copyright Pearson Prentice-Hall

29 9-5: The Incident Response Process: II Punishment – Collecting and managing evidence Forensics: Courts have strict rules for admitting evidences Call the authorities and a forensics expert for help Protecting evidence Document the chain of custody – Who held the evidence at all times? – What they did to protect it? Postmortem Evaluation – What should we do differently next time? Copyright Pearson Prentice-Hall

30 9-4: Olay Müdahalesiişlem: II Ceza – Kanıtların Toplanması ve yönetme Adli tıp: Mahkemelerin delillerin kabul için katı kuralları var Yardım için yetkililer ve bir adli tıp uzmanı çagrılır Kanıt Korunması Gözaltı Belge zinciri – Who held the evidence at all times? – What they did to protect it? işlem sonrası inceleme – Bir dahaki sefere farklı ne yapmalıyız? Copyright Pearson Prentice-Hall

31 9-5: The Incident Response Process: II  Organization of the CSIRT ◦ Should be led by a senior manager ◦ Should have members from affected departments: ◦ IT security staff ◦ To manage the CSIRT’s operation on a day-to-day basis ◦ Public relations department ◦ To communicate with the media (if/when needed) ◦ Legal department ◦ Legal counsel may be needed to address legal issues ◦ Human resources department ◦ especially if there are to be sanctions against employees Copyright Pearson Prentice-Hall

32 9-4: Olay Müdahalesiişlem: II  CSIRT Organizasyonu ◦ Üst düzey bir yönetici tarafından yönetilmeli ◦ Saldırılardan etkilenen bölümlerinden üye olmalı: ◦ IT güvenlik personeli ◦ To manage the CSIRT’s operation on a day-to-day basis ◦ Halkla ilişkiler departmanı ◦ To communicate with the media (if/when needed) ◦ Hukuk departmanı ◦ Legal counsel may be needed to address legal issues ◦ İnsan kaynakları departmanı ◦ especially if there are to be sanctions against employees Copyright Pearson Prentice-Hall

33 9-7: Jurisdictions Cyberlaw – Cyberlaw is any law dealing with information technology Jurisdictions – Areas of responsibility within which government bodies can make and enforce law Copyright Pearson Prentice-Hall

34 9-7: Yargı Siber kanunlar – Siber kanun bilgi teknolojisi ile ilgili herhangi bir yasadır Yargı – içinde devlet kurumlarının yasa koyup onları uyguttığı sorumluluk alanları, Copyright Pearson Prentice-Hall

35 9-7: Jurisdictions As an example: The US Judicial System – U.S. District Courts – U.S. Circuit Courts of Appeal – U.S. Supreme Court – U.S. State and Local Law International Law – Differences are wide and rapidly changing – Important to multinational firms – Also important to purely domestic firms – Several treaties exist to harmonize laws and facilitate cross-border prosecution Copyright Pearson Prentice-Hall

36 9-7: Yargı ABD Yargı Sistemi: Örnek olarak – ABD Bölge Mahkemeleri – Temyiz ABD Devre Mahkemeleri – ABD Yüksek Mahkemesi – ABD Eyalet ve Yerel Hukuku Uluslararası Hukuk – Farklılıklar geniş ve hızla değişiyor – Çok uluslu firmalar için önemli – Ayrıca saf yerli firmalar için önemli – Çeşitli antlaşmaları ve kanunları uyumlaştırmak ve kolaylaştırmak için sınır ötesi kovuşturmalar var Copyright Pearson Prentice-Hall

37 9-8: Evidence and Computer Forensics  Admissibility of Evidence ◦ Unreliable evidence may be kept from juries ◦ Belief that juries cannot evaluate ◦ Countries now have strong rules for evaluating the admissibility of electronic evidence Copyright Pearson Prentice-Hall

38 9-8: Delil ve Adli Bilişim  Kanıt Kabul edilebilirlik ◦ jüriler arasında güvenilmez kanıt tutulabilir ◦ İnancı Jüriler değerlendiremez ◦ Ülkelerin artık elektronik delillerin kabul edilebilirliği değerlendirmek için güçlü kuralları var Copyright Pearson Prentice-Hall

39 9-8: Evidence and Computer Forensics Computer Forensics Experts – Professionals trained to collect and evaluate computer evidence in ways that are likely to be admissible in court Expert Witnesses – Normally, witnesses can only testify regarding facts, not interpretations – Expert witnesses may interpret facts to make them comprehensible to the jury when juries are likely to have a difficult time evaluating the evidence themselves Copyright Pearson Prentice-Hall

40 9-8: Delil ve Adli Bilişim Adli Bilişim Uzmanları – bilgisayar kanıt toplamak ve mahkemede kabul olacak şekilde değerlendirmek için eğitilmiş Profesyoneller Uzman Şahitler – Normalde, tanık, sadece gerçeklere tanıklık eder onları yorumlamaz – Uzman Bilirkişiler gerçekleri jüriye anlaşılır yapmak içn yorumlayabilir when juries are likely to have a difficult time evaluating the evidence themselves Copyright Pearson Prentice-Hall

41 9-9: Federal Cybercrime Laws Example: 18 U.S.C § 1030 – United States Code Title 18, Part I (Crimes) Section 1030 – Actions prohibited Hacking Malware Denial of service – Protected computers Applicability is limited to protected computers – Often require damage threshold for prosecution Example: 18 U.S.C § 2511 – Prohibits the interception of electronic messages, both en route (in transit) and after the message is received and stored – Allows service providers to read the content of mail A company can read employee mail if it owns the mail system Copyright Pearson Prentice-Hall 2010

42 9-9: Federal Siber Suç Kanunlar Örneğin: 18 U.S.C § 1030 – Amerika Birleşik Devletleri Kod Adı 18, Bölüm I (Crimes) Bölüm 1030 – yasaklanan eylemler Hacking Malware Denial of service – Korunan bilgisayarlar Uygulanabilirlik bilgisayarları korumak için sınırlıdır – Often require damage threshold for prosecution Örneğin: 18 U.S.C § 2511 – Prohibits the interception of electronic messages, both en route (in transit) and after the message is received and stored – e-posta servis sağlayıcılarına postanın içeriğini okumaya izin verir A company can read employee mail if it owns the mail system Copyright Pearson Prentice-Hall 2010

43 9-9: Federal Cybercrime Laws Other Federal Laws – Many traditional federal criminal laws may apply in individual cases – For example, fraud, extortion, and the theft of trade secrets – These laws often have far harsher consequences than cybercrime laws Copyright Pearson Prentice-Hall

44 9-9: Federal Siber Suç Kanunlar Diğer Federal Yasalar – Birçok geleneksel federal ceza yasaları özel durumlarda geçerli olabilir – Örneğin, dolandırıcılık, gasp, ve ticari sır hırsızlığı – Bu yasaların çoğu siber suç yasalara göre çok daha sert sonuçlanır Copyright Pearson Prentice-Hall

45 9-10: Intrusion Detection Systems (IDSs) Event logging for suspicious events Sometimes, send alarms A detective control, not a preventative or restorative control Copyright Pearson Prentice-Hall

46 9-10: Saldırı Tespit Sistemleri (IDS 'lere) Şüpheli işlemler için olay günlükleme Bazen, alarm gönderir Bir dedektif kontrol, önleyici ya da restoratif kontrol değil Copyright Pearson Prentice-Hall

47 9-11: Functions of a Simple IDS Copyright Pearson Prentice-Hall Management: Configuration, Tuning, etc. Actions: Generate Alarms Generate Log Summary Reports Support Interactive Manual Log Analysis Automated Analysis: Attack Signatures versus Anomaly Detection Event Logging: Individual Events are Time-Stamped Log is Flat File of Events (Sometimes) Data Aggregation from Multiple IDSs

48 9-12: Distributed IDS Copyright Pearson Prentice-Hall

49 9-13: Network IDSs (NIDSs) and Host IDSs (HIDSs) Network IDSs (NIDSs) – Stand-alone device or built into a switch or router – NIDSs can see and can filter all packets passing through them – Switch or router NIDSs can collect data on all ports – A NIDS collects data for only its portion of the network – Cannot filter encrypted packets Copyright Pearson Prentice-Hall

50 9-13: Ağ IDSs'ler (NIDSs) ve Host IDSs'ler (HIDSs) Ağ IDSs'ler (NIDSs) – Bağımsız bir cihaz ya da yerleşik bir anahtar veya yönlendirici içine yerleştirilmiş – NIDSs görebilir ve tüm paketleri filtreleyebilir – Anahtar veya yönlendirici NIDSs tüm bağlantı noktalarında veri toplayabilir – Bir NIDS ağının sadece bir bölümü için veri toplar – Şifrelenmiş paketleri filtreleyemez Copyright Pearson Prentice-Hall

51 9-13: Network IDSs (NIDSs) and Host IDSs(HIDSs) Host IDSs (HIDSs) – Attractions Provide highly detailed information for the specific host – Weaknesses of Host IDSs Limited Viewpoint; Only one host Host IDSs can be attacked and disabled – OS Monitors Collects data on OS events Multiple failed logins Creating new accounts Adding new executables (program) Modifying executables (installing Trojan horses) Adding registry keys (changes how system works) Changing or deleting system logs and audit files Changing system audit policies User accessing critical system files or unusual files Changing the OS monitor itself Copyright Pearson Prentice-Hall 2010

52 9-13: Ağ IDSs'ler (NIDSs) ve Host IDSs'ler (HIDSs) Host IDS ler (HIDSs) – Attractions özel bilgisayar için son derece detaylı bilgi sağlar – zayıf yönleri Host IDSs Sınırlı bakış açısı; Sadece bir host Host IDSs saldırıya uğrayabilri ve disable olabilir – OS Monitors OS olayları üzerinden veri toplar Birden çok giriş başarısızlığı Yeni hesap oluşturma Yeni yürütülebilir (program) ekleme Programları düzenleme (installing Trojan horses) Kayıt defteri anahtarlarını ekleme(changes how system works) Sistem günlüklerini silem veya değiştirme ve dosyaları denetleme Sistem denetim ilkeleri değiştirme User accessing critical system files or unusual files Changing the OS monitor itself Copyright Pearson Prentice-Hall 2010

53 9-14: Analyzing Log Files Log Files – Flat files of time-stamped events – Individual logs for single NIDs or HIDs – Integrated logs Aggregation of event logs from multiple IDS agents (Figure 9-12) Difficult to create because of format incompatibilities Time synchronization of IDS event logs is crucial (Network Time Protocol) Event Correlation – Suspicious patterns in a series of events across multiple devices – Difficult because the relevant events exist in much larger event streams that are logged – Usually requires many analysis of the integrated log file data Copyright Pearson Prentice-Hall

54 9-14: Günlük Dosyaları Analizi Günlük Dosyaları – Flat files of time-stamped events – NIDS veya HIDS için bireysel günlükleri – Entegre edilmiş günlükleri Birden fazla IDS ajanından günlük dosyaları toplaam (Figure 9-12) Oluşturmak Zor biçimlerdenki uyumsuzluklardan dolayı IDS günlüklerinin zaman senkronizasyonu kritiktir (Network Time Protocol) Olay Korelasyon – Birden fazla cihaz arasında bir dizi etkinlik içinde şüpheli patterler – Difficult because the relevant events exist in much larger event streams that are logged – Genellikle entegre günlük dosyası birçok veri analizi gerektirir Copyright Pearson Prentice-Hall

55 9-15: Event Correlation for an Integrated Log File Sample Log File (many irrelevant log entries not shown)  1.8:45:05:47. Packet from to (NIDS log entry)  2.8:45:07:49. Host Failed login attempt for account Lee  3.8:45:07:50. Packet from to (NIDS)  4.8:45:50:15. Packet from to (NIDS)  5.8:45:50:18. Host Failed login attempt for account Lee (HIDS)  6.8:45:50:19. Packet from to (NIDS)  7.8:49:07:44. Packet from to (NIDS)  8.8:49:07:47. Host Successful login attempt for account Lee (HIDS)  9.8:49:07:48. Packet from to (NIDS)  10. 8:56:12:30. Packet from to TFTP request (NIDS)  11. 8:56:28:07. Series of packets from and TFTP response  12.No more host log entries (may stop sending events) Copyright Pearson Prentice-Hall

56 9-15: Event Correlation for an Integrated Log File Sample Log File (many irrelevant log entries not shown)  13.9:03.17:33. Series of packets between and SMTP (NIDS)  14.9:05.55:89. Series of packets between and SMTP (NIDS)  15.9:11.22:22. Series of packets between and SMTP (NIDS)  16.9:15.17:47. Series of packets between and SMTP (NIDS)  17.9:20:12:05. Packet from to TCP SYN=1, Destination Port 80 (NIDS)  18.9:20:12:07: Packet from to TCP RST=1, Source Port 80  19.9:20:12:08. Packet from to TCP SYN=1, Destination Port 80  20.9:20:12:11 Packet from to TCP SYN=1, Destination Port 80  21.9:20:12:12. Packet from to TCP SYN=1; ACK=1, Source Port 80 Copyright Pearson Prentice-Hall

57 9-16: Managing IDSs Tuning for Precision – Too many false positives (false alarms) can overwhelm administrators – False negatives allow attacks to proceed unseen – Tuning is required for protection as well as effectiveness Copyright Pearson Prentice-Hall

58 9-16: IDS leri yönetme Hassasiyet ayarları yapmak – Pek çok yanlış pozitifler(yanlış alarmlar) yöneticiler tarafından üstesinden gelinir – yanlış pozitifler görünez saldırılara izin verir – etkin olunabildiği kadarıyla koruma için sisteme ayar yapmak gereklidir Copyright Pearson Prentice-Hall

59 9-16: Managing IDSs Updates – Attack signatures must be updated frequently Processing performance – If processing speed cannot keep up with network traffic, some packets will not be examined – This can make some IDSs useless during attacks that increase the traffic load Storage – There will be limited disk storage for log files – When log files reach storage limits, they must be archived – Event correlation is difficult across multiple backup tapes – Adding more disk capacity reduces the problem Copyright Pearson Prentice-Hall

60 9-16: IDS leri yönetme Güncellemeler – Saldırı imzaları sık güncelleme olmalıdır Işlem performansı – Eğer Işleme hızı ağ trafiğini takip edemez ise, bazı paketler incelenmeyecek – Bu trafik yükünü artıran saldırılar sırasında bazı IDSs'ler kulanımaz hale getirebilir Depolama – Log dosyaları için sınırlı disk depolama alanı olacak – Log dosyaları depolama sınırlarına ulaştığınızda, arşivlenmelidirler – Olay korelasyon çoklu yedekleme bantları içinde zor olur – Daha fazla disk kapasitesi eklenmesi sorunu azaltır Copyright Pearson Prentice-Hall

61 9-17: Business Continuity (BC) Planning BC Planning – A BC plan specifies how a company plans to restore or maintain core business operations when disasters occur – Disaster response is restoring IT services Copyright Pearson Prentice-Hall

62 9-17: İş Sürekliliği (BC) Planlama İş Sürekliliği (BC) Planlama – Bir BC planı afetler meydana geldiğinde bir şirket geri yüklemek veya korumak için temel iş operasyonlarını beliryen planlardır – Afet müdahale IT hizmetleri tekrar depoluyor Copyright Pearson Prentice-Hall

63 BC versus IT Disaster Response Copyright Pearson Prentice-Hall Business Continuity: Keeping the entire firm operating or restoring the firm to operation IT Disaster Response: Keeping IT resources operating or restoring them to operation

64 9-17: BC Planning Principles of BC Management – Protect people first Evacuation plans and drills Never allow staff members back into unsafe environments Systematic way to reach all employees Counseling afterwards – People have reduced capacity in decision making during a crisis – Planning and rehearsal are critical – Avoid rigidity Unexpected situations will arise, must have the flexibility to act – Communication Have a backup communication system to compensate for breakdowns Communicate constantly to keep everybody “in the loop” Copyright Pearson Prentice-Hall

65 9-17: İş Sürekliliği (BC) Planlama BC Yönetim İlkeleri – İlk insanları koruyun Tahliye planları ve tatbikatlar Asla güvensiz ortamlara personelin girmesine izin vermeyin Sistematik bir şekilde tüm çalışanlara ulaşmak Counseling afterwards – Insanlar bir kriz sırasında karar verme kapasiteleri düşer – Planlama ve prova – Katılığı önlemek Unexpected situations will arise, must have the flexibility to act – Iletişim Arıza telafi etmek için bir yedek haberleşme sistemi olmalıdır Communicate constantly to keep everybody “in the loop” Copyright Pearson Prentice-Hall

66 9-17: BC Planning  Business process analysis ◦ Identification of business processes and their interrelationships ◦ Prioritization of business processes  Downtime tolerance ◦ Resource needs (must be shifted during crises)  Cannot restore all business processes immediately Testing the plan is difficult – because of the scope of disasters – because of the number of people involved Copyright Pearson Prentice-Hall

67 9-17: İş Sürekliliği (BC) Planlama  Iş süreci analizi ◦ Kimlik iş süreçleri ve aralarındaki ilişkiler ◦ Iş önceliklendirilmesi süreçlerini  Downtime tolerance ◦ Kaynak ((must be shifted during crises) ihtiyacı  Hemen tüm iş süreçlerini yenileyemeyebilir Test planı zordur – afet kapsamı nedeniyle – katılan kişi sayısı nedeniyle Copyright Pearson Prentice-Hall

68 9-17: BC Planning Updating the plan – Must be updated frequently – Business conditions change and businesses reorganize constantly – People who must execute the plan also change jobs constantly – Telephone numbers and other contact information must be updated far more frequently than the plan as a whole – Should have a small permanent staff Copyright Pearson Prentice-Hall

69 9-17: İş Sürekliliği (BC) Planlama planı güncelleme – Sık güncellenmeli – iş koşullarını sürekli değişir ve işler yeniden organize olur – Planı işleten insanlar da iş değiştirir – Telefon numaralrı ve diğer iletişim bilgileri sık sık güncenllenmeli – Az sayıda kalıcı çalışan olmalı Copyright Pearson Prentice-Hall

70 9-19: IT Disaster Recovery IT disaster recovery – IT disaster recovery looks specifically at the technical aspects of how a company can get its IT back into operation using backup facilities – A subset of BC or for disasters the only affect IT – All decisions are business decisions and should not be made by mere IT staff or IT security staffs Copyright Pearson Prentice-Hall

71 9-19: IT felaket kurtarma IT felaket kurtarma – Bir şirketin IT yi tekrar işlem yapabilri hale nasıl getirileceğinin teknil belirlemelerine IT felaket kurtarma denir Yedekleme özelliklerini kullanır – BC nin veya sadece IT yi etkileyen felaketin bir alt kümesi – Bütün kararlar iş kararıdır ve önemsiz IT görevlsi ve güvenlik görevlisi tarfından yapılmamlıdır Copyright Pearson Prentice-Hall

72 9-19: IT Disaster Recovery Types of Backup Facilities – Hot sites Ready to run (power, HVAC, computers) Rapid readiness at high cost Must be careful to have the software at the hot site up-to-date in terms of configuration – Cold sites Building facilities, power, HVAC, communication to outside world only Less expensive but usually take too long to get operating – Sharing sites Site sharing among a firm’s sites (compatibility? & synchronization?) Continuous data protection needed to allow rapid recovery Copyright Pearson Prentice-Hall

73 9-19: IT felaket kurtarma Yedek ÜnitelerininTürleri – Hot(sıcak) sites Çalışmak için hazır (power, HVAC, computers) Yüksek maliyetle, hızlı bir şekilde hazır Must be careful to have the software at the hot site up-to-date in terms of configuration – Cold(sağuk) sites Binalar, güç, HVAC, dış dünya ile iletişim Daha ucuz fakat işletilmesi çok zaman alır – Sharing(paylaşım) sites Bir firmanın siteeri arasındasite paylaşımı (uyumluluk? & senkronizasyon?) Sürekli veri koruması hızlı iyileşme sağlamak için gerekli Copyright Pearson Prentice-Hall

74 9-19: IT Disaster Recovery Office computers – Hold much of a corporation’s data and analysis capability – Will need new computers if old computers are destroyed or unavailable Will need new software Well-synchronized data backup is critical – People will need a place to work Restoration of data and programs – Restoration from backup tapes Need backup tapes at the remote recovery site – May be impossible during a disaster Testing the IT disaster recovery plan – Can be very difficult and expensive Copyright Pearson Prentice-Hall

75 9-19: IT felaket kurtarma Ofis bilgisayarları – Bir şirketin veri ve analiz yeteneğinin çoğunu tutar – Eğer eski bilgisayarlar yok edilir veya kullanılamaz hale gelirse, yeni bilgisayarlar gerekecek Yeni yazılım gerekir İyi sekronize veri back up ları önemlidir – İnsanlar çalışacak yere itiyaç duyacak Veri ve programların Restorasyonu – Yedek kasetlerden Restorasyon uzakdan kurtarma yerinden yedekleme bantlarına ihtiyaç var – Balki bir afet sırasında mümkün olmayabilir IT felaket kurtarma testi – Çok zor ve pahalı olabilir Copyright Pearson Prentice-Hall


"Incident and Disaster Response Chapter 9. Orientation In previous chapters, we have looked at threats, planning, and response In this chapter, we complete." indir ppt

Benzer bir sunumlar


Google Reklamları