Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:seminari:zivotni_ciklus_odgovaranja_na_incidente [2023/01/09 23:20]
lm51697 [Uvod]
racfor_wiki:seminari:zivotni_ciklus_odgovaranja_na_incidente [2023/06/19 18:17] (trenutno)
Redak 2: Redak 2:
 ===== Sažetak ===== ===== Sažetak =====
  
-Odgovaranje na incidente u okviru računalne sigurnosti je proces koji varira ovisno o ozbiljnosti prijetnje sustavu. Kod većih organizacija incidenti su ozbiljniji problemi, stoga je i način odgovarnja na incidente ozbiljniji proces. +Odgovaranje na incidente u okviru računalne sigurnosti je proces koji varira ovisno o ozbiljnosti prijetnje sustavu. Kod većih organizacija incidenti su ozbiljniji problemi, stoga je i način odgovaranja na incidente ozbiljniji proces. 
  
 Iz tog razloga razvijene su razne metodologije načina odgovaranja na te incidente. Iz tog razloga razvijene su razne metodologije načina odgovaranja na te incidente.
Redak 8: Redak 8:
  
 Glavne razlike spomenutih metodologija je svrha za koju ih organizacije koriste; NIST za opće smanjenje prijetnji računalnom sustavu, a SANS procese za prioritetiziranje sigurnosnih prijetnji. Glavne razlike spomenutih metodologija je svrha za koju ih organizacije koriste; NIST za opće smanjenje prijetnji računalnom sustavu, a SANS procese za prioritetiziranje sigurnosnih prijetnji.
 +
 +Videoprezentacija projekta dostupna je na [[https://ferhr-my.sharepoint.com/:v:/g/personal/lm51697_fer_hr/ERwUP9eHKjBGtJa5J4lGPlIBEkz17GVA31l_v3xHm8Rxhw?e=BDz5xe|linku]].
  
  
Redak 14: Redak 16:
 Incident u okviru računalne sigurnosti označava neočekivanu ili neželjenu radnju vezanu uz računalnu mrežu ili sustav koja može negativno utjecati na pojedinca ili organizaciju.[1] Incident u okviru računalne sigurnosti označava neočekivanu ili neželjenu radnju vezanu uz računalnu mrežu ili sustav koja može negativno utjecati na pojedinca ili organizaciju.[1]
  
-Odgovaranje na incidente je proces, a kako ozbiljnost incidenta može varirati, tako variraraju i životni ciklus odgovaranja na incidente. Kod većih organizacija incidenti su također ozbiljniji problemi, stoga su razvijene razne metodologije načina odgovaranja na te incidente.+Odgovaranje na incidente je proces, a kako ozbiljnost incidenta može varirati, tako variraju i životni ciklus odgovaranja na incidente. Kod većih organizacija incidenti su također ozbiljniji problemi, stoga su razvijene razne metodologije načina odgovaranja na te incidente.
  
 Životni ciklus odgovaranja na incidente se stoga može definirati kao proces slijednih koraka koje je potrebno poduzeti kako bi se otkrilo i odgovorilo na sigurnosne prijetnje računalnih sustava ili mreža. Ovi procesi najviše se koriste u poslovnim organizacijama kako bi se spriječili ili oporavili od sigurnosnih napada.[2] Životni ciklus odgovaranja na incidente se stoga može definirati kao proces slijednih koraka koje je potrebno poduzeti kako bi se otkrilo i odgovorilo na sigurnosne prijetnje računalnih sustava ili mreža. Ovi procesi najviše se koriste u poslovnim organizacijama kako bi se spriječili ili oporavili od sigurnosnih napada.[2]
  
-Procesi odgovaranja na incidente se konstantno mijenjaju ovisno o potrebama i novim saznanjima, zato postoje različiti slijedovi koraka ovih procesa, a u nastavku će biti opisana dva industrijska standarda: NIST i SANS. +Procesi odgovaranja na incidente se konstantno mijenjaju ovisno o potrebama i novim saznanjima, zato postoje različiti sljedovi koraka ovih procesa, a u nastavku će biti opisana dva industrijska standarda: NIST i SANS.
  
 ===== NIST ciklus odgovaranja na incidente ===== ===== NIST ciklus odgovaranja na incidente =====
Redak 27: Redak 28:
 Životni ciklus odgovaranja na incidente [[https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf|NIST]] je industrijski standard američke državne agencije //The National Institute of Standards and Technology// koja zadaje standarde i prakse vezane za računalnu sigurnost. Životni ciklus odgovaranja na incidente [[https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf|NIST]] je industrijski standard američke državne agencije //The National Institute of Standards and Technology// koja zadaje standarde i prakse vezane za računalnu sigurnost.
  
-NIST [1] ciklus odgovaranja na incidenete rastavlja u četiri glavne faze:+NIST [3] ciklus odgovaranja na incidente rastavlja u četiri glavne faze (Slika 1.):
     *Priprema     *Priprema
     *Detekcija i analiza     *Detekcija i analiza
Redak 36: Redak 37:
  
 {{ https://axaxl.com/fast-fast-forward/articles/-/media/axaxl/images/fast-fast-forward/2020/cyberincidentresponsecycle_axa-xl_graphic2.png?h=371&w=600&hash=1DFFAAECAD3E58E158B1FF96A9B7126A }} {{ https://axaxl.com/fast-fast-forward/articles/-/media/axaxl/images/fast-fast-forward/2020/cyberincidentresponsecycle_axa-xl_graphic2.png?h=371&w=600&hash=1DFFAAECAD3E58E158B1FF96A9B7126A }}
 +Slika 1. NIST ciklus [[https://axaxl.com/fast-fast-forward/articles/-/media/axaxl/images/fast-fast-forward/2020/cyberincidentresponsecycle_axa-xl_graphic2.png?h=371&w=600&hash=1DFFAAECAD3E58E158B1FF96A9B7126A|izvor]]
 ==== Faze NIST-a ==== ==== Faze NIST-a ====
  
   - **PRIPREMA**   - **PRIPREMA**
      * Faza pripreme uključuje procese i akcije koje je potrebno poduzeti kako bi se organizacija pripremila za odgovoranje na incidente.       * Faza pripreme uključuje procese i akcije koje je potrebno poduzeti kako bi se organizacija pripremila za odgovoranje na incidente. 
-     * Ova faza važna je za prevenciju incidenata, a postiže se odabirom pravih alata i resurasa te pravilnom obukom zaposlenika.+     * Ova faza važna je za prevenciju incidenata, a postiže se odabirom pravih alata i resursa te pravilnom obukom zaposlenika.
      * Potrebno je izraditi i plan za otkrivanje mogućih prijetnji i incidenata u organizacijskoj okolini identifikacijom tih prijetnji i analizom njihovog utjecaja na organizaciju (svojevrsni plan upravljanja rizikom).      * Potrebno je izraditi i plan za otkrivanje mogućih prijetnji i incidenata u organizacijskoj okolini identifikacijom tih prijetnji i analizom njihovog utjecaja na organizaciju (svojevrsni plan upravljanja rizikom).
   - **DETEKCIJA I ANALIZA**   - **DETEKCIJA I ANALIZA**
Redak 46: Redak 48:
      * Osim izvora napada utvrđuje se i kakve je on prirode i kakav je njegov mogući utjecaj na organizacijski sustav.      * Osim izvora napada utvrđuje se i kakve je on prirode i kakav je njegov mogući utjecaj na organizacijski sustav.
   - **OBUZDAVANJE, ERADIKACIJA I OPORAVAK**   - **OBUZDAVANJE, ERADIKACIJA I OPORAVAK**
-     * Ovo je glavna faza odgovora na incidente u kojoj se poduzimaju mjere da se spriječili ublažmogući prekidi rada sustava.+     * Ovo je glavna faza odgovora na incidente u kojoj se poduzimaju mjere da se spriječili ublažmogući prekidi rada sustava.
      * Faza se sastoji od tri glavna koraka:      * Faza se sastoji od tri glavna koraka:
       * **Obuzdavanje** - Korištenjem svih mogućih metoda i alata sprječava se daljnje širanje virusa ili malwarea, npr. odspajanjem računalnih sustava s mreža ili "karantenom zaraženih sustava".       * **Obuzdavanje** - Korištenjem svih mogućih metoda i alata sprječava se daljnje širanje virusa ili malwarea, npr. odspajanjem računalnih sustava s mreža ili "karantenom zaraženih sustava".
-      * **Eradikacija** - Nakon prvog koraka obuzdavanja problema, tog istog problema potrebno se rješiti iz organizacijskog sustava npr. korištenjem antivirusnog alata ili ručnim tehnikama uklanjanja. Također se mora osigurati da je sav sigurnosni softwer ažuriran na  najnoviju verziju.+      * **Eradikacija** - Nakon prvog koraka obuzdavanja problema, tog istog problema potrebno se riješiti iz organizacijskog sustava npr. korištenjem antivirusnog alata ili ručnim tehnikama uklanjanja. Također se mora osigurati da je sav sigurnosni softver ažuriran na  najnoviju verziju.
       * **Oporavak** - Zadnji korak ove faze je oporavak organizacijskog sustava na stanje prije napada korištenjem raznih metoda poput //backup// podataka ili omogućavanjem pristupa računima čiji je pristup oduzet i slično.       * **Oporavak** - Zadnji korak ove faze je oporavak organizacijskog sustava na stanje prije napada korištenjem raznih metoda poput //backup// podataka ili omogućavanjem pristupa računima čiji je pristup oduzet i slično.
   - **AKTIVNOST NAKON INCIDENTA**   - **AKTIVNOST NAKON INCIDENTA**
-     * Zadnja faza je rekapitalucija procesa kroz koji se prošlo dok se odgovaralo na incident. Analizom podataka i poduzetih akcija radi se kako bi se dhvatilo kako je došlo do incidenta i kako ga u budućnosti sprječiti. Ova faza jako je važna jer pomaže organizaciji da poboljša svoju računalnu sigurnost i ojača buduće procese odgovaranja na incidente.+     * Zadnja faza je rekapitulacija procesa kroz koji se prošlo dok se odgovaralo na incident. Analiza podataka i poduzetih akcija radi se kako bi se shvatilo kako je došlo do incidenta i kako ga u budućnosti spriječiti. Ova faza jako je važna jer pomaže organizaciji da poboljša svoju računalnu sigurnost i ojača buduće procese odgovaranja na incidente.
  
  
Redak 64: Redak 66:
 ==== Općenito o SANS-u ==== ==== Općenito o SANS-u ====
  
-SANS je za razliku od NIST-a privatni institut koji nudi edukaciju i informacije o računalnoj sigurnosti te je najveća među takvim organizacijama u svijetu, gdje prednjači brojem istraživanja o //cybersecurity//-ju te pružanju edukacije i certifikata.+SANS je za razliku od NIST-a privatni institut koji nudi edukaciju i informacije o računalnoj sigurnosti te je najveća među takvim organizacijama u svijetu jer prednjači brojem istraživanja o //cybersecurity//-ju te pružanju edukacija i certifikata.
  
-SANS [2] ciklus odgovaranja na incidente rastavlja u šest ključnih faza:+SANS [4] ciklus odgovaranja na incidente rastavlja u šest ključnih faza (Slika 2.):
     *Priprema     *Priprema
     *Identifikacija     *Identifikacija
Redak 76: Redak 78:
  
 {{https://static.packt-cdn.com/products/9781800569218/graphics/Images/B16575_11_03.png}} {{https://static.packt-cdn.com/products/9781800569218/graphics/Images/B16575_11_03.png}}
 +Slika 2. SANS ciklus [[https://static.packt-cdn.com/products/9781800569218/graphics/Images/B16575_11_03.png|izvor]]
 ==== Faze SANS-a ==== ==== Faze SANS-a ====
  
   - **PRIPREMA**   - **PRIPREMA**
-     * U fazi pripreme pregledava se politika sigurnosti organizacije, obavlja procjena rizika i osjetljivih podataka i sustava na temelju čega se predviđaju kritični incidenti u račnalnoj sigurnosti te se na kraju formira **CSIRT** (Computer security incident response team) t,. tim za odgovore na te incidente.+     * U fazi pripreme pregledava se politika sigurnosti organizacije, obavlja procjena rizika i osjetljivih podataka i sustava na temelju čega se predviđaju kritični incidenti u računalnoj sigurnosti te se na kraju formira **CSIRT** (Computer security incident response team) t,. tim za odgovore na te incidente.
   - **IDENTIFIKACIJA**   - **IDENTIFIKACIJA**
      * Tijekom ove faze se na IT sustavima prate odstupanja od uobičajene aktivnosti i utvrđuje se radi li se o stvarnim prijetnjama. Također je potrebno skupiti sve dodatne podatke kod ovakvih odstupanja.      * Tijekom ove faze se na IT sustavima prate odstupanja od uobičajene aktivnosti i utvrđuje se radi li se o stvarnim prijetnjama. Također je potrebno skupiti sve dodatne podatke kod ovakvih odstupanja.
Redak 85: Redak 88:
      * Ovdje je najprije ključno što prije lokalizirati prijetnju izolacijom dijela sustava koji je pod prijetnjom. Nakon toga potrebno je prebaciti fokus na dugotrajnu lokalizaciju kako bi se omogućilo normalno funkcioniranje nezahvaćenih dijelova sustava dok se problematični dijelovi oporave.      * Ovdje je najprije ključno što prije lokalizirati prijetnju izolacijom dijela sustava koji je pod prijetnjom. Nakon toga potrebno je prebaciti fokus na dugotrajnu lokalizaciju kako bi se omogućilo normalno funkcioniranje nezahvaćenih dijelova sustava dok se problematični dijelovi oporave.
   - **ERADIKACIJA**   - **ERADIKACIJA**
-     * Nakon lokalizacije problema, taj problem potrebno je rješiti micanjem //malware//-a sa svih zahvaćenih uređaja te otkriti izvor problema te poduzeti potrebne korake kako se isto ne bi opet dogodilo.+     * Nakon lokalizacije problema, taj problem potrebno je riješiti micanjem //malware//-a sa svih zahvaćenih uređaja te otkriti izvor problema poduzeti potrebne korake kako se isto ne bi opet dogodilo.
   - **OPORAVAK**   - **OPORAVAK**
      * Nakon što se dijelovi sustavi koji su bili zahvaćeni incidentom vrate u normalno funkcioniranje potrebno je iste pratiti, provjeravati i testirati.      * Nakon što se dijelovi sustavi koji su bili zahvaćeni incidentom vrate u normalno funkcioniranje potrebno je iste pratiti, provjeravati i testirati.
   - **NAUČENE LEKCIJE**   - **NAUČENE LEKCIJE**
-     * Ovu fazu preporučse proći u roku od dva tjedna nakon incidenta te rekapitulirati cijeli incident korištenjem dokumentacije cijelog procesa i dodatnom istragom. Analizom spomenutog potrebno je reevaluirati način na koji organizacija odgovara na incidente te uvesti moguća poboljšanja u taj proces. +     * Ovu fazu preporučuje se proći u roku od dva tjedna nakon incidenta te rekapitulirati cijeli incident korištenjem dokumentacije cijelog procesa i dodatnom istragom. Analizom spomenutog potrebno je reevaluirati način na koji organizacija odgovara na incidente te uvesti moguća poboljšanja u taj proces. 
  
  
Redak 97: Redak 100:
 NIST i SANS procesi veoma su slični u svojim procesima i fazama i oboje se uglavnom koriste u informacijsko - komunikacijskim tehnologijama. NIST i SANS procesi veoma su slični u svojim procesima i fazama i oboje se uglavnom koriste u informacijsko - komunikacijskim tehnologijama.
  
-Glavna razlika je što je NIST proces koji služi organizacijama i pojedincima kako bi smanjili sigurnosne prijetnje i rizike računlanih sustava, dok SANS proces organizacije koriste kako bi dobili rezultate ovisno o svojim prioritetima kod odgovora na računalne sigurnosne incidente.+Glavna razlika je što je NIST proces koji služi organizacijama i pojedincima kako bi smanjili sigurnosne prijetnje i rizike računalnih sustava, dok SANS proces organizacije koriste kako bi dobili rezultate ovisno o svojim prioritetima kod odgovora na računalne sigurnosne incidente.
  
  
Redak 109: Redak 112:
  
 Stoga je dužnost na organizacijama i na za to odgovornim ljudima stalna edukacija te poboljšavanje računalne sigurnosti. Stoga je dužnost na organizacijama i na za to odgovornim ljudima stalna edukacija te poboljšavanje računalne sigurnosti.
 +
 ===== Literatura ===== ===== Literatura =====
  
-[1] [[https://www.atlassian.com/incident-management/incident-response/lifecycle]]+[1] [[https://security.foi.hr/wiki/index.php/Odgovaranje_na_incidente_-_Incident_response_PITUP.html]] 
 + 
 +[2] [[https://www.atlassian.com/incident-management/incident-response/lifecycle]]
  
 [2] [[https://www.eccouncil.org/cybersecurity-exchange/incident-handling/what-is-incident-response-life-cycle/]] [2] [[https://www.eccouncil.org/cybersecurity-exchange/incident-handling/what-is-incident-response-life-cycle/]]
  
-[3] [[https://sterlinginfo.com/what-is-incident-response-life-cycle/]]+[4] [[https://sterlinginfo.com/what-is-incident-response-life-cycle/]]
  
  
  
  
racfor_wiki/seminari/zivotni_ciklus_odgovaranja_na_incidente.1673302853.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0