Quốc phòng chuyên sâu: Welchia nghiên cứu điển hình Hãy xem cách quốc phòng chuyên sâu có thể làm việc trong một tình huống thực tế đời sống. Cho các nghiên cứu trường hợp này, chúng tôi xem xét làm thế nào một vừa tổ chức xử lý với một nhiễm trùng của sâu Welchia xảy ra vào năm 2003. Điểm mấu chốt ở đây là phòng thủ của bạn phải ở vị trí trước khi bạn đang bị tấn công. Nếu không, bạn có thể ở một bất lợi đáng kể. Chúng ta hãy xem xét như thế nào tổ chức được bố trí để bảo vệ từ một cuộc tấn công, phát hiện khi nó xảy ra, và sau đó phục hồi từ bất kỳ thiệt hại xảy ra sau đó. Bảo vệ Tổ chức công bố chính sách (chấp nhận được sử dụng và bảo mật) đặt nền móng Đối với máy tính sử dụng và quản lý rủi ro. (Chúng tôi thảo luận về các chính sách chi tiết trong chương 8.) Chìa khóa Các yếu tố của chính sách AU quy định tổ chức các máy tính chỉ nào được kết nối với mạng lưới của tổ chức. Tổ chức có một tường lửa giữa Internet và mạng lưới tổ chức tại ngoài một tường lửa trên cơ sở quay số vào mạng. Cả hai bức tường lửa được đặt cấu hình để thực hiện các nguyên tắc của ít nhất là đặc quyền - dịch vụ cần thiết chỉ được phép. Một số người sử dụng có tường lửa cá nhân thực hiện trên máy tính để bàn của họ. Mạng sử dụng một không gian địa chỉ lớp B, nhưng sử dụng một netmask 255.255.255.0 để tạo 255 subnetworks (tham khảo chương 2 để biết chi tiết về địa chỉ các lớp học và netmasks). Ngoài ra, mạng được cấu hình như vậy mà các mạng con có máy chủ và người sử dụng SANS viện Quốc phòng chuyên sâu 63 máy tính không trải dài nhiều tòa nhà. VLAN được sử dụng chỉ cho quản lý mạng. Nhóm bảo mật là tương đối chủ động trong việc điều hành quét định kỳ và có thể thực hiện Cập Nhật công cụ khá nhanh chóng. Điều này chứng minh là rất quan trọng trong môi trường đó là phần lớn không được quản lý (ví dụ, nhiều người trong số các máy tính không phải là thành viên của một tên miền). Tổ chức có một số công cụ truyền thông thực hiện và có sẵn: • Một hệ thống thư điện tử có một thông báo của các tính năng ngày • Một máy chủ web extranet an toàn có thể truy cập chỉ từ trong vòng các không gian địa chỉ của tổ chức • Một danh sách gửi thư được thành lập của tất cả các kiểm toán viên tổ chức infosec. Công cụ cuối cùng (và quan trọng nhất) tại chỗ bao gồm những người đặt cấu hình, hoạt động, và duy trì tất cả các công cụ được đề cập trước đó và làm việc với nhau như một đội khi sự cố xảy ra. Phát hiện Các nhiễm trùng lây lan ngay sau khi một nhân viên kết nối với một máy tính máy tính xách tay bị nhiễm bệnh để tổ chức mạng. Máy tính xách tay đã được thực hiện ngoại vi và kết nối với một ISP via quay số. Đây là một vi phạm chính sách của tổ chức sử dụng chấp nhận được. Nhiễm trùng tạo ra một cảnh báo trên các tường lửa cá nhân trên một số máy tính trong tổ chức. Nó một cách nhanh chóng đạt đến một mức độ quá tải các bức tường lửa với Internet. Vào thời điểm đó, các cơ chế lây nhiễm không chưa rõ ràng hiểu để quản trị tường lửa kéo cáp mạng trên cả hai giao diện và bao gồm vấn đề để các trang web. Phục hồi Người từ nhóm bảo mật và nhóm mạng (những người hoạt động tường lửa) triệu tập một cuộc gọi hội nghị và vạch ra một chiến lược để chứa vấn đề và cung cấp như nhiều khả năng hoạt động như là tốt. Điểm cao của kế hoạch được liệt kê ở đây: • Khối ICMP echo yêu cầu trên xương sống và xây dựng bộ định tuyến (ngoại trừ cho các subnet cho tổ chức an ninh - họ có thể quan sát lưu lượng truy cập và gage các ngăn chặn tiến bộ). • Khối RPCs trong số tất cả mạng con trừ để trao đổi công ty con, các công ty tập tin máy chủ mạng con (cả hai có duy nhất các máy tính đã " được biết đến được vá), và mạng con cho tổ chức an ninh (như đã đề cập trước đó). • Quét cho các máy tính bị nhiễm và ngăn chặn họ (từ truy cập Internet) tại các tường lửa. SANS viện 64 cuốn sách 2 - Quốc phòng chuyên sâu • Tải về bản vá lỗi, làm sạch công cụ, Cập Nhật AV chữ ký, và đặt chúng trên các extranet máy chủ nằm bên trong các bức tường lửa. • Kết nối vào Internet (ít hơn hai giờ sau khi lây nhiễm ban đầu) và màn hình tiến bộ. • Đăng một hàng ngày tiến độ và báo cáo "Bước tiếp theo" trên máy chủ extranet. Tổ chức này có hơn 100 mạng con trong sử dụng. Sự kiện xử lý nhóm quyết định để khôi phục lại truy cập trên cơ sở mạng con. Khi tất cả các máy tính trên một mạng con được quét và đi sạch sẽ, bộ định tuyến danh sách điều khiển truy nhập (ACL) được sửa đổi để cho phép truy cập đầy đủ. Mạng con đến sạch đang trở lại trong dịch vụ một cách nhanh chóng. Một vài mạng con có máy tính mà không thể được vị trí (họ bị tắt, sử dụng lúc trang web từ xa, và như vậy) và làm cho nó khó khăn để có được kết thúc. Quản lý đảm bảo thông tin cung cấp khuyến khích bởi có bộ định tuyến quản trị viên chặn truy cập Internet cho các mạng con cho đến khi các quản trị viên infosec có thể hoặc xác định vị trí các máy tính, do đó, họ có thể được quét hoặc đảm bảo rằng các máy tính sẽ không được kết nối lại vào mạng cho đến sau khi họ được làm sạch. Có một vài xoắn và quay trong sự kiện, nhưng nó đi khá trôi chảy và các xử lý học rất nhiều trong tiến trình. Phòng thủ tại chỗ không phải là hoàn hảo bằng phương tiện nào, nhưng họ chứng minh rằng quốc phòng sâu là chìa khóa để còn lại trong kinh doanh.
đang được dịch, vui lòng đợi..