Начало - https://valerykomarov.blogspot.com/2019/10/187_14.html#more
Продолжаем обсуждать выстраивание субъектом КИИ процессов выявления и реагирования на компьютерные инциденты на своих ОКИИ без использования средств ГосСОПКА.
name='more'>
В варианте карточки регистрации учета компьютерных инцидентов № 2 (для продвинутой ИБ) необходимо заполнить строку № 13 «Технические параметры компьютерного инцидента». В данной заметке приведены стандартизированные формы по каждому типу компьютерных инцидентов на ОКИИ (приложение к карточке №2).
Заражение ВПО
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Email-адреса объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
URI-адреса | |
Email-адреса контролируемого информационного ресурса | |
Hash-суммы модулей | |
Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения) |
Использование контролируемого ресурса для распространения или управления модулями вредоносного программного обеспечения
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Email-адреса объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
URI-адреса | |
Email-адреса контролируемого информационного ресурса | |
Hash-суммы модулей | |
Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения) |
Попытки внедрения модулей вредоносного программного обеспечения
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Email-адреса объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
Доменные имена контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
URI-адреса | |
Email-адреса контролируемого информационного ресурса | |
Hash-суммы модулей | |
Вердикты антивирусных средств и наименование соответствующих антивирусных средств (в случае положительного выявления модулей вредоносного программного обеспечения) |
Компьютерная атака типа «отказ в обслуживании»
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Мощность компьютерной атаки | - пакетов в секунду - килобайт в секунду - запросов в секунду |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки |
Распределенная компьютерная атака типа «отказ в обслуживании»
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Мощность компьютерной атаки | - пакетов в секунду - килобайт в секунду - запросов в секунду |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Блок маршрутизируемых IP-адресов, используемый для проведения компьютерной атаки |
Несанкционированный вывод системы из строя
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки |
Непреднамеренное отключение системы
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки |
Успешная эксплуатация уязвимости
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые) контролируемого ресурса, используемые для заражения, рассылки вредоносного программного обеспечения или управления зараженными объектами | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса |
Компрометация учетной записи
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки |
Попытки эксплуатации уязвимости
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Попытки авторизации в информационном ресурсе
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки |
Сканирование информационного ресурса
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Блок маршрутизируемых IP-адресов объекта атаки | |
Доменные имена объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки |
Прослушивание (захват) сетевого трафика
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Номер атакованной Автономной системы | |
Легитимно анонсируемый блок IP-адресов | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
Нелегитимно анонсируемый блок IP-адресов (more specific) | |
Номер подставной Автономной системы |
Социальная инженерия
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Несанкционированное разглашение информации
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Несанкционированное изменение информации
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Рассылка незапрашиваемых электронных сообщений
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Email-адреса объектов атаки | |
Доменные имена объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
Email-адреса, используемые для осуществления атаки |
Публикация запрещенной законодательством РФ информации
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Злоупотребление при использовании информационного ресурса
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки |
Публикация мошеннического информационного ресурса
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Индикаторы вредоносной активности | |
IP-адреса (маршрутизируемые), используемые для осуществления атаки | |
Доменные имена, используемые для осуществления атаки | |
URI-адреса, используемые для осуществления атаки |
Наличие уязвимости или недостатка конфигурации в информационном ресурс
Технические параметры инцидента | |
IP-адреса (маршрутизируемые) объектов атаки | |
Доменные имена объектов атаки | |
URL-адреса, подверженные атаке |
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.