Jason Miller: สิ่งที่ควรทำและไม่ควรทำของ US-CERT หลังจากการแฮ็กทางไซเบอร์เครื่องเล่นเสียง
บ่อยครั้งที่หน่วยงานลบหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญหลังจากการโจมตีทางไซเบอร์
แผนกความมั่นคงแห่งมาตุภูมิกำลังพยายามเปลี่ยนแนวทางของผู้ดูแลระบบในการเก็บรักษาข้อมูลสำคัญแอน บาร์รอน-ดิคามิลโล ผู้อำนวยการทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของสหรัฐฯ กล่าวว่า มีบางขั้นตอนที่หัวหน้าหน่วยงานรักษาความปลอดภัยข้อมูล ผู้ดูแลระบบ และคนอื่นๆ ควรคำนึงถึงเมื่อรู้ตัวว่าถูกแฮ็ก
ดังที่โทนี่ สก็อตต์ หัวหน้าเจ้าหน้าที่สารสนเทศของรัฐบาลกลาง
ได้กล่าวไว้หลายครั้ง มีองค์กรอยู่สองประเภท: พวกที่ถูกแฮ็กและรู้ แล้วคนที่โดนแฮกโดยไม่รู้ตัว.
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
เพื่อให้เป็นไปตามกฎดังกล่าว US-CERT จึงนำเสนอแนวทางปฏิบัติที่ดีที่สุดเหล่านี้:
ความผิดพลาดทั่วไป
องค์กรที่ถูกแฮ็กไม่ควรเริ่มมาตรการโต้ตอบกับเครือข่ายโดยอัตโนมัติโดยไม่ปรึกษาผู้เชี่ยวชาญด้านการตอบสนองเหตุการณ์ก่อน Barron-DiCamillo กล่าวว่า US-CERT และโฮสต์ของบริษัทอื่น ๆ ทำการตอบสนองต่อเหตุการณ์เพื่อหาเลี้ยงชีพ ตรงข้ามกับผู้ดูแลระบบหรือผู้เชี่ยวชาญด้านไอทีอื่น ๆ ที่ตอบสนองต่อปัญหาทางไซเบอร์เฉพาะเมื่อเกิดขึ้นเท่านั้น
“สิ่งนี้อาจทำให้สูญเสียข้อมูลที่ไม่แน่นอน เช่น
หน่วยความจำและสิ่งประดิษฐ์บนโฮสต์อื่นๆ เรายังเห็นพวกเขาสัมผัสโครงสร้างพื้นฐานของฝ่ายตรงข้าม ดูเหมือนผิดปกติ แต่เราก็ทำ” เธอกล่าว “พวกเขากำลัง ping หรือทำการค้นหาเนมเซิร์ฟเวอร์ (NS) ค้นหา เรียกดูบางไซต์ เจ้าหน้าที่ของเอเจนซีกำลังพยายามตรวจสอบเหตุการณ์ที่เกิดขึ้น และพวกเขาต้องการทำการวิเคราะห์โดเมนหรือ IP ที่น่าสงสัย อย่างไรก็ตาม การกระทำเหล่านี้สามารถชี้แนะศัตรูที่ตรวจพบได้ อีกครั้งไม่ไม่ คุณไม่ต้องการทำอย่างนั้น”
Barron-DiCamillo กล่าวว่า การบล็อกเว็บไซต์หรือที่อยู่ IP ของฝ่ายตรงข้ามเป็นสิ่งที่ไม่ควรทำ เพราะจะเป็นการหลอกแฮ็กเกอร์ที่พวกเขาพบ เธอกล่าวว่าสิ่งนี้อาจทำให้ผู้ไม่ประสงค์ดีเปลี่ยนโครงสร้างพื้นฐาน และผู้เผชิญเหตุอาจสูญเสียการมองเห็นที่จำกัดที่แฮ็กเกอร์มี
ต่อต้านการรีเซ็ตรหัสผ่านล่วงหน้า
Barron-DiCamillo กล่าวว่า ผู้ดูแลระบบเปลี่ยนเครือข่ายและรหัสผ่านระบบบ่อยเกินไป ก่อนที่ US-CERT หรือผู้จำหน่ายจะเข้าใจอย่างถ่องแท้ว่าแฮ็กเกอร์ “เกี่ยว” อะไรในเครือข่าย
Barron-DiCamillo กล่าวหลังการอภิปรายในการประชุม NextGov Prime 2015 ที่กรุงวอชิงตัน “อีกครั้งที่ฝ่ายตรงข้ามเห็นสิ่งนี้และจะเปลี่ยนกลยุทธ์ และคุณสูญเสียการมองเห็นที่คุณมีในฐานะผู้ตรวจสอบ”
อย่าลบบันทึกการตรวจสอบ
หน่วยงานต่างๆ มักจะบันทึกการเขียนทับเพื่อรักษาพื้นที่จัดเก็บ ซึ่งเป็นแนวทางปฏิบัติที่ดีที่สุดในอุตสาหกรรม แต่เมื่อเกิดการละเมิดทางไซเบอร์ Barron-DiCamillo กล่าวว่าหากไม่มีบันทึกการตรวจสอบ ผู้ตรวจสอบไม่สามารถดูข้อมูลสำคัญทางนิติวิทยาศาสตร์ได้ เนื่องจากบันทึกไม่ย้อนกลับไปไกลพอ
“เรากำลังพยายามประกาศข่าวประเสริฐแก่ชุมชนของเรา เพื่อให้พวกเขาเข้าใจที่จะติดต่อทีมรับมือเหตุการณ์ตั้งแต่เริ่มต้นของเหตุการณ์ เพื่อให้เรามั่นใจได้ว่าหลักฐานทางนิติวิทยาศาสตร์ที่เราจำเป็นต้องยืนยันประเภทของกิจกรรมที่เกิดขึ้นนั้นจะเกิดขึ้นสำหรับพวกเขา เมื่อพวกเขาไปถึงที่นั่น” เธอกล่าว
Credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง
