Ein Hacker-oder Netzwerk-Angreifer ist jemand, der böswillig Angriffe Netze, Systeme, Computer, Anwendungen, und wer nimmt, korrumpiert, ändert, löscht oder stiehlt vertrauliche Informationen.
Ein Hacker kann sich auf eine Reihe von verschiedenen Personen, die Tätigkeiten ausführen, die auf Hacking-Systeme und-Netze, und es kann sich auch auf Personen, die Tätigkeiten ausführen, die nichts zu tun mit kriminellen Aktivitäten:
Hacker sind in diesen Tagen nach der hat sie tragen. Dieses Konzept ist unten dargestellt:
Zwar gibt es viele verschiedene Arten von Netzwerk-Attacken, nur wenige können als die am häufigsten, die Netzwerk-Attacken. Diese Netzwerk-Attacken werden in diesem Abschnitt des Artikels:
- Daten verändert oder Daten Manipulation bezieht sich auf ein Netzwerk angreifen, wo vertrauliche Firmendaten wird, gelöscht oder geändert werden. Daten Änderung erfolgreich ist, wenn Daten geändert wird, ohne den Absender tatsächlich bewusst, dass es manipuliert wurde.
Ein paar Methoden zur Verhinderung von Angriffen, die auf Kompromisse die Integrität der Daten sind hier aufgelistet: - Verwenden Sie digitale Signaturen, um zu gewährleisten, dass die Daten nicht geändert worden, während es übertragen oder einfach gespeichert werden.
- Umsetzung Access Control Lists (ACLs) zu steuern, welche Benutzer Zugriff auf Ihre Daten.
- Regelmäßig Sicherungskopien von wichtigen Daten.
- Fügen Sie Code in Anwendungen, die Validierung der Daten-Eingang.
- Lauschangriffe: Diese Art von Netzwerk-Angriff tritt auf, wenn ein Angreifer überwacht oder hört den Netzwerkverkehr auf der Durchreise, und dann interpretiert alle ungeschützten Daten. Während Sie müssen spezielle Geräte und Zugang zu den Telefon-Unternehmen Wechsel Einrichtungen zu belauschen Telefonate, müssen Sie lauschen auf einer Internet-Protokoll IP-Adresse Spoofing oder IP-Spoofing oder Identität: IP-Adresse Spoofing tritt auf, wenn ein Angreifer nimmt an, dass die Quelle Internet-Protokoll Sniffer-Attacken: Sniffing bezieht sich auf den Prozess, die von Angreifern zur Erfassung und Analyse von Netzwerkverkehr. Der Inhalt der Pakete in einem Netzwerk analysiert. Die Werkzeuge, die Angreifer für Schnupfen sind Sniffern oder mehr korrekt, Protokoll-Analysatoren. Während die Protokoll-Analysatoren sind eigentlich Netzwerk-Troubleshooting-Werkzeuge, sie werden auch von Hackern für bösartige Zwecke. Sniffer sind für die Überwachung, Erfassung und die Netzwerk-Informationen, wie Passwörter und wertvolle Kundeninformationen. Wenn eine Person hat den physischen Zugang zu einem Netzwerk, wird er / sie kann einfach fügen Sie ein Protokoll-Analysator für die Netz-und dann erfassen Verkehr. Remote Schnupfen kann auch durchgeführt werden und wird in der Regel von Netzwerk-Angreifer.
Es gibt Protokoll-Analysatoren oder Sniffern für die meisten Netzwerk-Technologien, einschließlich: - Asynchronous Transfer Mode (ATM)
- Passwort-Angriffe: Passwort Angriffe oder Passwort-Cracker sind auf Erraten Sie das Kennwort für ein System, bis das richtige Passwort ist. Eine der wichtigsten Sicherheits-Schwachstellen im Zusammenhang mit dem Kennwort Zugriff ist, dass alle der Sicherheit stützt sich auf die Benutzer-ID und das Passwort verwendet werden. Aber wer ist die Person mit der Mandate auf die Tastatur? Es sind nur einige der älteren Anwendungen, die sich nicht schützen Kennwort. Das Passwort ist schlicht und einfach an Informationen in einer klaren oder Nur-Text - keine Form der Verschlüsselung verwendet wird! Denken Sie daran, dass Netzwerk-Angreifer können Benutzer-ID und das Passwort ein und kann dann sich als autorisierte Benutzer Angriff und das Firmennetz. Angreifer können die Wörterbuch-Attacken oder Brute-Force-Angriffe, um Zugang zu Ressourcen mit den gleichen Rechten wie der autorisierte Benutzer. Eine große Gefahr wäre, wenn der Benutzer über ein gewisses Maß an administrative Rechte auf bestimmte Teile des Netzes. Eine noch größere Gefahr würde bestehen, wenn die gleichen Kennwort sind für alle Systeme. Der Angreifer hätte dann Zugriff auf eine Reihe von Systemen.
Es gibt zwei Möglichkeiten, in dem Kennwort Angriffe durchgeführt werden: - Online Kracken: Das Netzwerk Angreifer schnuppert Netzwerkverkehr zu beschlagnahmen Authentifizierung Sitzungen in einem Versuch zu erfassen Passwort basierte Informationen. Es gibt Instrumente, die darauf ausgerichtet sind bei Schnupfen die Passwörter vom Verkehr.
- Offline Kracken: Das Netzwerk Angreifer Zugang zu einem System mit der Absicht, den Zugang zu Informationen Passwort. Der Angreifer läuft dann einige Password Cracker-Technologie zu entschlüsseln gültigen Benutzer-Account-Informationen.
Ein Wörterbuch-Angriff tritt auf, wenn alle die Worte der Regel für Passwörter versucht, um ein Passwort mit. Es gibt einige Technologien, kann eine Reihe von komplexen Wort-Kombinationen und Varianten.
The Microsoft Windows Server 2003 operating system only stores passwords in an encrypted format. Um das Passwort ein, müssen Sie über administrative Anmeldeinformationen für den Zugriff auf das System und Informationen. Operating systems these days also support password policies. Passwort-Richtlinien verwendet werden können, um festzulegen, wie Passwörter verwaltet werden, und zur Definition der Merkmale von Passwörtern, die als akzeptabel.
Passwort-Einstellungen verwendet werden können, um-und durchzusetzen eine Reihe von Regeln für Passwörter: - Legen Sie fest, ob Passwörter sind einfach oder komplex sein.
- Legen Sie fest, ob das Passwort Geschichte erhalten bleibt.
- Definieren Sie die Mindestlänge für Kennwörter.
- Definieren Sie die minimale Passwort-Alter.
- Definieren Sie die maximale Alter Passwort.
- Legen Sie fest, ob Kennwörter gespeichert werden mit reversibler Verschlüsselung oder irreversible Verschlüsselung.
Account-Sperre Maßnahmen umgesetzt werden sollten, wenn Ihre Umgebung ist besonders anfällig für Bedrohungen, die aus-Passwörter, die erraten werden. Die Umsetzung eines Kontos Aussperrung Politik sorgt dafür, dass das Konto des Nutzers ist gesperrt, nachdem eine Person bereits erfolglos versucht, für einige Zeit, um das korrekte Passwort. Wichtig zu merken, wenn sie ein Konto gesperrt ist, dass Sie eine Politik, die es erlaubt, ein gewisses Maß an Benutzer-Fehler, aber auch verhindert, dass Hacker mit Ihrer Benutzer-Accounts. Die folgenden Passwort und Account-Sperre Einstellungen befinden sich in den Account Lockout Politikbereich in Kontorichtlinien: - Account Lockout-Schwelle: Diese Einstellung steuert die Anzahl der nach dem Versuch ein falsches Passwort in das Konto gesperrt wird aus dem System.
- Account-Sperre Dauer: Diese Einstellung steuert die Dauer, die ein Konto gesperrt ist, bleibt gesperrt. Eine Einstellung von 0 bedeutet, dass ein Administrator muss manuell entsperren Sie das Konto gesperrt.
- Reset Konto Aussperrung Zähler nach: Diese Einstellung bestimmt die Zeit, Dauer, muss im Anschluss an eine ungültige Anmeldeversuche, die vor dem Reset-Konto Aussperrung Zähler zurückgesetzt werden.
- Brute-Force-Attacke: Brute-Force-Angriffe einfach versuchen zu entschlüsseln, indem ein Algorithmus versucht jeden möglichen Schlüssel, um die richtige ist. Diese Art von Netzwerk-Angriff verwendet systematisch alle möglichen Alpha, numerischen und Sonderzeichen Tastenkombinationen finden Sie ein Passwort, das für einen Benutzer-Account. Brute-Force-Angriffe sind auch typisch für die Kompromiss-Netze nutzen, die Simple Mail Transfer Protocol Denial of Service (DoS) Angriff: Ein DoS-Angriff richtet sich auf die Verhütung von ermächtigt, legitimen Nutzern den Zugriff auf das Netzwerk. Die DoS-Attacke ist nicht auf das Sammeln oder die Erhebung von Daten. Es ist Ziel der Verhinderung der normalen Nutzung der Computer oder das Netzwerk von autorisierten, berechtigten Benutzer. Die SYN Flood von 1996 war die früheste Form eines DoS-Angriff genutzt werden, die eine Schwachstelle der Transmission Control Protocol Diese Art von Angriff wird als Distributed Denial of Service (DDoS)-Angriff. Netzwerk-Administratoren können große Schwierigkeiten in Abwehr von DDoS-Angriffen, weil Sperrung aller Angriffe auf Rechner, kann auch dazu führen, Sperrung autorisierte Benutzer. Die folgenden Maßnahmen können zum Schutz eines Netzes gegen DoS-Angriffe:
- Anwendung und Durchsetzung starken Passwort-Richtlinien.
- Back up-System-Konfiguration Daten regelmäßig.
- Deaktivieren oder entfernen Sie alle unnötigen Netzwerkdienste.
- Umsetzung der Disk-Quotas für Ihre Benutzer-und Service-Konten.
- Konfigurieren von Filtern auf Ihrem Router und Patch-Betriebssystemen.
Die folgenden Maßnahmen können zum Schutz eines Netzes gegen DDoS-Angriffe: - Beschränken Sie die Anzahl der ICMP-und SYN-Paketen über Router-Schnittstellen.
- Filter privaten IP-Adressen mit Router Access Control Lists.
- Bewerben Eindringen und Ausstieg Filter auf allen Edge-Router.
- Man-in-the-Middle (MITM) Angriff: Ein Mann-in-the-Middle (MITM) Angriff tritt auf, wenn ein Hacker lauscht auf einem sicheren Kommunikationssitzung und überwacht, erfasst und kontrolliert die Daten, die zwischen den beiden Parteien zu kommunizieren. Der Angreifer versucht, Informationen, so dass er / sie kann die Identität der Empfänger und Absender zu kommunizieren.
Für eine Man-in-the-Middle (MITM) Angriff, um erfolgreich zu sein, die folgende Sequenz von Ereignissen auftreten: - Der Hacker muss in der Lage sein, um Zugang zu den Kommunikations-Sitzung, um Verkehr, wenn der Empfänger und Absender, die sichere Kommunikation Tagung.
- Der Hacker muss in der Lage sein, um die Nachrichten, die zwischen den Parteien und dann Nachrichten senden, so dass die Sitzung aktiv bleibt.
Es gibt einige Public-Key-Kryptografie, wie z. B. Diffie-Hellman (DH) Austausch von Schlüsseln, die nicht anfällig für Man-in-the-middle "-Angriffe. Dies ist darauf zurückzuführen, das Diffie-Hellman (DH) Schlüssel-Austausch mit nicht-Authentifizierung.
Was sind Viren?
Ein Virus kann definiert werden als ein bösartiger Code, der Affekte und infiziert Dateien auf einem System. Zahlreiche Instanzen der Dateien werden dann neu erstellt. Viren in der Regel dazu führen, dass eine Art von Datenverlust und / oder Ausfall.
Es gibt zahlreiche Methoden, mit denen ein Virus kann sich in ein System:
- Durch infizierte Disketten.
- Durch eine E-Mail-Anhang mit dem Virus infiziert.
- Durch Herunterladen von Software mit dem Virus infiziert.
Einige Arten von Viren sind hier:
- Boot-Sektor-Viren: Das sind Viren, die Festplatte des Master-Boot-Record. Das Virus wird dann in den Speicher geladen, wenn das System gestartet oder neu gestartet wird.
- Datei-Viren-Programm oder Viren oder Parasiten Viren: Dies sind Viren, die sich an ausführbare Programme. Immer dann, wenn die bestimmten Programm ausgeführt wird, sind die Viren in den Speicher geladen.
- Mehrseitigen Viren: Dies sind Viren, die eine Kombination aus einem Boot-Sektor-Virus und eine Datei-Virus.
- Makro-Viren: Das sind Viren, die sich in Makro-Sprachen, die von Anwendungen, von denen Microsoft Word ist. Makro-Viren infizieren Systeme in der Regel per E-Mail.
- Polymorphe Viren: Diese Viren können als noch schwieriger gegen Viren zu wehren, weil sie ihren Code ändern. Virenschutz-Software findet polymorphe Viren oft schwieriger zu erkennen und zu entfernen.
Wenn Sie feststellen, dass ein Virus Ihr System infiziert hat, verwenden Sie die hier aufgeführten Empfehlungen:
- Scannen jedes Ihrer Systeme zu ermitteln, wie Ihre Infrastruktur infiziert ist.
- Um zu verhindern, dass das Virus von einer weiteren Ausbreitung. Sie sollten sofort trennen Sie alle infizierten Systemen.
- Alle infizierten Systemen installiert werden soll aus einem sauberen Backup-Kopie, also eine Sicherungskopie, die getroffen wurde, wenn das System sauber aus-Virus-Infektionen.
- Informieren Sie die Antivirus-Hersteller, so dass der Verkäufer die Viren-Datenbank wird ständig aktualisiert werden.
Ein paar Methoden zum Schutz Ihrer Netzwerk-Infrastruktur vor Viren finden Sie hier:
- Installieren Sie Virenschutz-Software auf die Systeme.
- Regelmäßig aktualisiert alle installierten Virenschutz-Software.
- Regelmäßig Back-Up-Systeme, nachdem sie zuvor auf Viren, und gelten als saubere von Virus-Infektion.
- Ihre Nutzer sollten ausgebildete nicht öffnen Sie eine beliebige E-Mail-Anhängen, die aus Persönlichkeiten, die sie nicht kennen.
Was sind Würmer?
Wie bereits erwähnt, ein Virus ist eine Form des bösartigen Code infiziert, dass Dateien auf dem System. Ein Wurm auf der anderen Seite ist eine autonome Code propagiert, dass über ein Netzwerk, auf Platz auf der Festplatte und Prozessor-Zyklen. Worms nicht infiziert nur Dateien auf einem System, kann aber propagieren zu anderen Systemen im Netzwerk. Der Zweck einer Wurm ist die Erschöpfung der verfügbaren System-Ressourcen. Daher auch der Grund, warum macht ein Wurm Kopien von sich selbst über und über und über. Worms im Grunde Kopien von sich selbst zu replizieren oder bis zum verfügbaren Speicher verwendet wird, die Bandbreite nicht verfügbar ist, und legitimen Netzwerk-Benutzer sind nicht mehr in der Lage für den Zugriff auf Netzwerk-Ressourcen oder Dienstleistungen.
Es gibt ein paar Würmer, die hochentwickelte genug, um beschädigte Dateien, dass un-Systeme in Betrieb, und auch Daten stehlen. Diese Würmer haben in der Regel ein oder mehrere Viren-Codes.
Ein paar Würmer, die zuvor sind hier:
- Die ADMw0rm Wurm nutzte einen Pufferüberlauf in Berkeley Internet Name Domain (BIND).
- Der Code Red Wurm verwendet einen Pufferüberlauf im Microsoft Internet Information Services (IIS) Version 4 und IIS Version 5.
- Die LifeChanges Wurm genutzt Microsoft Windows Schwäche, die erlaubt Schrott Shell genutzt werden, um Dateien für die Ausführung von beliebigem Code.
- Die LoveLetter Wurm verwendet eine Visual Basic Script zu replizieren oder Massen-Mail selbst an alle Personen in der Windows-Adressbuch.
- Die Melissa Wurm verwendet eine Microsoft Outlook und Outlook Express Anfälligkeit für Massen-Mail selbst an alle Personen in der Windows-Adressbuch.
- Der Morris-Wurm genutzt ein sendmail Debug-Modus Schwachstelle.
- Der Nimda-Wurm zu laufen E-Mail-Anhänge in Hypertext Markup Language (HTML)-Nachrichten durch die Nutzung von HTML-IFRAME-Tag.
- Der Wurm genutzt Slapper einen Apache Web-Server-Plattform Pufferüberlauf.
- Der Wurm "Slammer" genutzt einen Pufferüberlauf auf un-patched-Maschinen mit Microsoft SQL Server.
Was sind Trojanische Pferde?
Ein Trojanisches Pferd oder Trojaner ist eine Datei oder E-Mail-Anhang, die verschleierte als eine freundliche, legitime Datei. Wenn jedoch ausgeführt, wird die Datei korrumpiert Daten und können sogar eine Hintertür, die Hacker nutzen können, um auf das Netzwerk zugreifen.
Ein Trojanisches Pferd unterscheidet sich ein Virus oder Wurm in den folgenden Möglichkeiten:
- Trojanische Pferde tarnen sich als freundliche Programme. Viren und Würmer sind sehr viel deutlicher in ihren Aktionen.
- Trojanische Pferde nicht replizieren wie Würmern und Viren tun.
Ein paar verschiedene Arten von Trojanischen Pferden finden Sie hier:
- Keystroke Logger Überwachung der Tastatureingaben, die ein Nutzer und E-Mails, die Informationen an die Netzwerk-Angreifer.
- Password stealers are disguised as legitimate login screens which wait for users to provide their passwords so that they can be stolen by hackers. Password stealers are aimed at discovering and stealing system passwords for hackers.
- Remote administration tools (RATs) are used by hackers to gain control over the network from some remote location.
- Zombies are typically used to initiate distributed denial of service (DDoS) attacks on the hosts within a network.
Predicting Network Threats
To protect your network infrastructure, you need to be able to predict the types of network threats to which it is vulnerable. This should include an analysis of the risks that each identified network threat imposes on the network infrastructure.
A model known as STRIDE is used by security experts to classify network threats:
- S poofing identity: These are attacks that are aimed at obtaining user account information. Spoofing identity type attacks typically affect data confidentiality.
- T ampering with data: These are attacks that are aimed at modifying company information. Data tampering usually ends up in affecting the integrity of data. A man-in-the-middle attack is a form of data tampering.
- R epudiation: Repudiation takes place when a user performs some form of malicious action on a resource and then later denies carrying out that particular activity. Network administrators usually have no evidence which they can use to back up their suspicions.
- I nformation disclosure: Here, private and confidential information is made available to individuals who should not have access to the particular information. Information disclosure usually impacts data confidentiality and network resource confidentiality.
- D enial of service: These attacks affect the availability of company data and network resources and services. DoS attacks are aimed at preventing legitimate users from accessing network resources and data.
- E levation of privilege: Elevation of privilege occurs when an attacker escalates his/her privileges to obtain a high level of access like administrative privileges, in an attempt to gain control of the network system.
Identifying Threats to DHCP Implementations
A few threats specific to DHCP implementations are listed here:
- Because the IP address number in a DHCP scope is limited, an unauthorized user could initiate a denial of service (DoS) attack by requesting or obtaining a large numbers of IP addresses.
- Ein Netzwerk Angreifer könnten eine unseriöse DHCP-Server zu bieten falsche IP-Adressen zu Ihrem DHCP-Clients.
- A denial of service (DoS) attack can be launched through an unauthorized user performing a large number of DNS dynamic updates via the DHCP server.
- Assigning DNS IP addresses and WINS IP addresses through the DHCP server increases the possibility of hackers using this information to attack your DNS and WINS servers.
protect your DHCP environment from network attacks, use the following strategies:
- Implement firewalls
- Close all open unused ports
- Wenn es erforderlich ist, VPN-Tunnel.
- Sie können die MAC-Adressen-Filter.
Identifying Threats to DNS Implementations
A few threats specific to DNS implementations:
- Denial of service (DoS) attacks occurs when DNS servers are flooded with recursive queries in an attempt to prevent the DNS server from servicing legitimate client requests for name resolution. A successful DoS attack can result in the unavailability of DNS services, and in the eventual shut down of the network.
- In DNS, footprinting occurs when an intruder intercepts DNS zone information. When the intruder has this information, the intruder is able to discover DNS domain names, computer names, and IP addresses which are being used on the network. The intruder then uses this information to decide on which computers he/she wants to attacks.
- IP Spoofing: After an intruder has obtained a valid IP address from a footprinting attack, the intruder can use the IP address to send malicious packets to the network, or access network services. The intruder can also use the valid IP address to modify data.
- In DNS, a redirection attack occurs when an intruder is able to make the DNS server forward or redirect name resolution requests to the incorrect servers. In this case, the incorrect servers are under the control of the intruder. A redirection attack is achieved by an intruder corrupting the DNS cache in a DNS server that accepts unsecured dynamic updates.
To protect an external DNS implementation from network attacks, use the following list of recommendations:
- DNS servers should be placed in a DMZ or in a perimeter network.
- Access rules and packet filtering should be configured firewalls to control both source and destination addresses and ports.
- Host your DNS servers on different subnets and ensure that the DNS servers have different configured routers.
- Install the latest service packs on your DNS servers
- All unnecessary services should be removed.
- Secure zone transfer data by using VPN tunnels or IPSec.
- Ensure that zone transfer is only allowed to specific IP addresses.
- For Internet facing DNS servers, disable recursion, disable dynamic updates, and enable protection against cache pollution
- You can use a stealth primary server to update secondary DNS servers which are registered with ICANN.
Identifying Threats to Internet Information Server (IIS) servers (Web servers)
The security vulnerabilities of the earlier versions of Internet Information Server (IIS), including IIS version 5, were continuously patched up by service packs and hotfixes available from Microsoft. Previously when IIS was installed, all services were enabled and started; all service accounts had high system rights; and permissions were assigned to the lowest levels. This basically meant that the IIS implementation was vulnerable to all sorts of attacks from hackers. Microsoft introduced the Security Lockdown Wizard in an attempt to address the security loopholes and vulnerabilities which existed in the previous versions of IIS. The Security Lockdown Wizard in IIS 6 has been included in the Web Service Extensions (WSE).
IIS is installed in locked-down mode with IIS 6. The only feature immediately available is to access static content. You actually need to utilize the WSE feature in the IIS Manager console tree to manually enable IIS to run applications and its features. By default, all applications and extensions are prohibited from running.
To protect IIS servers from network attacks, use the following recommendations:
- To prevent hackers from using default account names, all default account names, including the Administrator account and Guest account should be changed. You should utilize names for these accounts which are difficult to guess.
- To prevent a hacker from compromising Active Directory should the Web server be compromised, the Web server should be a stand-alone server or a member of a forest, other than the forest which is used by the private network.
- All the latest released security updates, service packs, and hotfixes should be applied to the Web server.
- All sample applications should be removed from a Web server. A few sample application files are installed by default with IIS 5.0.
- All unnecessary services should be removed or disabled. This would ensure that network attackers cannot exploit these services to compromise the Web server.
- Disable the utilization of parent paths. Hackers typically attempt to access unauthorized disk subsystem areas through parent paths.
- Apply security to each content type. Content should be categorized into separate folders, based on content type. You should then apply discretionary access control lists for each content type you have identified.
- To protect commonly attacked ports, use IPSec.
- To protect the secure areas of the Web server, use the Secure Socket Layer (SSL) protocol.
- To detect hacking activity, implement an intrusion detection system (IDS).
- A few recommendations for writing secure code for ASP or ASP.NET applications are summarized here:
- ASP pages should not contain any hard-coded administrator account names and administrator account passwords.
- Sensitive and confidential information and data should not be stored in hidden input fields on Web pages and in cookies.
- Verify and validate form input prior to it being processed.
- Do not use information from HTTP request headers to code decision branches for applications.
- Be wary of buffer overflows generated by unsound coding standards.
- Use Secure Sockets Layer (SSL) to encrypt session cookies.
Identifying Threats to Wireless Networks
A few threats specific to DNS implementations:
- Eavesdropping attacks: The hacker attempts to capture traffic when it is being transmitted from the wireless computer to the wireless access point (WAP).
- Masquerading: Here, the hacker masquerades as an authorized wireless user to access network resources or services.
- Denial of service (DoS) attacks: The network attacker attempts to prevent authorized wireless users from accessing network resources by using a transmitter to block wireless frequencies.
- Man-in-the-middle attacks: If an attacker successfully launches a man-in-the-middle attack, the attacker could be able to replay, and modify wireless communications.
- Attacks at wireless clients: The attacker starts a network attack at the actual wireless computer which is connected to an untrusted wireless network.
To protect wireless networks from network attacks, use the following strategies:
Creating an Incidence Response Plan
The terminology, incident response, refers to planned actions in response to a network attack or any similar event that affects systems, networks and company data. An Incident Response plan is aimed at outlining the response procedures that should take place when a network is being attacked or security is being compromised.
The Incident Response plan should assist an organization with dealing with the incident in an orderly manner. Reacting to network attacks by following a planned approach defined by a security policy is the better approach.
These security policies should clearly define the following:
- The response to follow for each different type of incident.
- The individual(s) who are responsible for dealing with these incidents.
- The escalation procedures which should be followed.
An Incident Response plan can be divided into the following four steps:
- Response: Determine how network attacks and security breaches will be dealt with.
- Investigation: Determine how the attack occurred, why the specific attack occurred, and the extent of the attack.
- Restoration: All infected systems should be taken offline and then restored from a clean backup.
- Reporting: The network attack or security breach should be reported to the appropriate authorities.
Before you attempt to determine the existing state of a machine that is being attacked, it is recommended that you first record the information listed here:
- The name of the machine.
- The IP address of the machine.
- The installed operating system, operating system version, and installed service packs.
- All running processes and services.
- List all parties that are dependent on the server. These are the individuals which you need to inform of the current situation.
- Obtain the following valuable information:
- Application event log information.
- System event log information.
- Security event log information.
- All other machine specific event logs, such as DNS logs, DHCP logs, or File Replication logs.
- Record all information which indicates malicious activities. This should include:
- All files that have been modified, corrupted, or deleted.
- All unauthorized processes running.
- Try to identify and record the source of the network attack.
Bookmark Netzwerk Angriffe
Neueste Blog-Posts