Начало - https://valerykomarov.blogspot.com/2019/10/187_14.html#more
Продолжаем обсуждать выстраивание субъектом КИИ процессов выявления и реагирования на компьютерные инциденты на своих ОКИИ без использования средств ГосСОПКА.
В варианте карточки регистрации учета компьютерных инцидентов № 2 (для продвинутой ИБ) необходимо заполнить строку № 13 «Технические параметры компьютерного инцидента». В данной заметке приведены стандартизированные формы по каждому типу компьютерных инцидентов на ОКИИ (приложение к карточке №2).
Заражение ВПО
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Email-адреса объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые)
контролируемого ресурса, используемые для заражения, рассылки вредоносного
программного обеспечения или управления зараженными объектами
|
|
Доменные имена контролируемого
ресурса, используемые для заражения, рассылки вредоносного программного
обеспечения или управления зараженными объектами
|
|
URI-адреса
|
|
Email-адреса контролируемого
информационного ресурса
|
|
Hash-суммы модулей
|
|
Вердикты антивирусных средств и
наименование соответствующих антивирусных средств (в случае положительного
выявления модулей вредоносного программного обеспечения)
|
|
Использование
контролируемого ресурса для распространения или управления модулями
вредоносного программного обеспечения
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Email-адреса объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые)
контролируемого ресурса, используемые для заражения, рассылки вредоносного
программного обеспечения или управления зараженными объектами
|
|
Доменные имена контролируемого
ресурса, используемые для заражения, рассылки вредоносного программного
обеспечения или управления зараженными объектами
|
|
URI-адреса
|
|
Email-адреса контролируемого
информационного ресурса
|
|
Hash-суммы модулей
|
|
Вердикты антивирусных средств и
наименование соответствующих антивирусных средств (в случае положительного
выявления модулей вредоносного программного обеспечения)
|
|
Попытки внедрения модулей
вредоносного программного обеспечения
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Email-адреса объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые)
контролируемого ресурса, используемые для заражения, рассылки вредоносного
программного обеспечения или управления зараженными объектами
|
|
Доменные имена контролируемого
ресурса, используемые для заражения, рассылки вредоносного программного
обеспечения или управления зараженными объектами
|
|
URI-адреса
|
|
Email-адреса контролируемого
информационного ресурса
|
|
Hash-суммы модулей
|
|
Вердикты антивирусных средств и
наименование соответствующих антивирусных средств (в случае положительного
выявления модулей вредоносного программного обеспечения)
|
|
Компьютерная атака типа
«отказ в обслуживании»
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Мощность компьютерной атаки
|
-
пакетов в секунду
-
килобайт в секунду
-
запросов в секунду
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Распределенная компьютерная атака типа «отказ в обслуживании»
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Мощность компьютерной атаки
|
-
пакетов в секунду
-
килобайт в секунду
-
запросов в секунду
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые),
используемые для осуществления атаки
|
|
Блок маршрутизируемых IP-адресов,
используемый для проведения компьютерной
атаки
|
|
Несанкционированный вывод
системы из строя
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
Непреднамеренное
отключение системы
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
Успешная эксплуатация
уязвимости
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые)
контролируемого ресурса, используемые для заражения, рассылки вредоносного программного
обеспечения или управления зараженными объектами
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса
|
|
Компрометация учетной
записи
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Попытки эксплуатации уязвимости
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Попытки авторизации в
информационном ресурсе
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Сканирование
информационного ресурса
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Блок маршрутизируемых IP-адресов объекта
атаки
|
|
Доменные имена объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Прослушивание (захват)
сетевого трафика
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Номер атакованной Автономной системы
|
|
Легитимно анонсируемый блок IP-адресов
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Нелегитимно анонсируемый блок
IP-адресов
(more specific)
|
|
Номер подставной Автономной системы
|
|
Социальная инженерия
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Несанкционированное
разглашение информации
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Несанкционированное
изменение информации
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Рассылка незапрашиваемых
электронных сообщений
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Email-адреса объектов атаки
|
|
Доменные имена объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Email-адреса, используемые для осуществления
атаки
|
|
Публикация запрещенной законодательством РФ информации
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Злоупотребление при использовании информационного ресурса
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
Публикация мошеннического информационного ресурса
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Индикаторы
вредоносной активности
|
|
IP-адреса (маршрутизируемые), используемые
для осуществления атаки
|
|
Доменные имена, используемые для осуществления
атаки
|
|
URI-адреса, используемые для осуществления
атаки
|
|
Наличие уязвимости или
недостатка конфигурации в информационном ресурс
Технические параметры инцидента
|
|
IP-адреса (маршрутизируемые) объектов атаки
|
|
Доменные имена объектов атаки
|
|
URL-адреса,
подверженные атаке
|
|
P. S. Телеграм-группа для обсуждения заметки https://t.me/joinchat/C4fmQVPujsjY0WGQd8h-kw
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
Комментариев нет:
Отправить комментарий