Здесь, собраны короткие инструкции реагирования на инциденты ИБ . В материале не рассматриваются конкретные инструменты с помощью которых вы можете обнаружить данные угрозы – рассмотрен примерный порядок действий при таком обнаружении.
Локальная сеть
Взлом принтера или ИП телефона:
Отключить принтер от сети
Подключить локально
Сменить-установить пароль
Перенастроить – выполнить сброс к заводским настройкам
При обнаружении – удалении трояна с компьютера:
Временная блокировка сетевого трафика на раб. станции до выяснения обстоятельств
Проведение полной антивирусной проверки (штатным антивирусом)
Проведение дополнительной антивирусной проверки(не штатным антивирусом)
Подключение к Интернет не в песочнице проверка анализатором трафика (Wireshark)
Проверка процессов с помощью утилит sysinternals
При выявлении постороннего устройство (например рабочей станции):
Выявить ип адрес – DNS имя
Просканировать nmap или другим сканером портов
Собрать информацию о станции с помощью других утилит либо средствами межсетевого экрана
Установить местоположение устройства в DMZ
Если постороннее устройство находится в офисе выключить до выяснения обстоятельств – кто-то из сотрудников может принести свое. Изымать не рекомендую так, как может быть расценено как кража.
Если оно не из локальной сети заблокировать по ip и mac адресу (зависит от вас – можно ставить первым пунктом, но если станция физически не в защищаемом периметре – узнать о ней больше может не получится – злоумышленник может отключиться)
Сетевой червь:
Блокировка компьютера средствами межсетевого экрана либо отключение от локальной сети
Установления всех АРМ на которые был распространён черв – и их блокировка сетевого соединения до удаления червя
Удаления сетевого червя
Проверка в изолированной сети – на распространение и заражения других пк
Проверка в тестовом локальном контуре с подключением по VPN
Подключение к Интернет не в песочнице проверка анализатором трафик (Wireshark)
Проверка процессов с помощью утилит sysinternals
В случае установленного факта заражения, но невозможностью антивируса удалить с АРМ червя – переустановить систему
Синий экран:
Установка ошибки
Решение ошибки без переустановки
Переустановка системы
Если установка не требуется и проблема в заражении пк полная антивирусная проверка в safe mode
Шифровальщик:
При обнаружении зашифрованного устройство – отключить его от локальной сети для исключения возможности дальнейшего распространения
Посмотреть возможность для расшифровывания раб станции
Переустановка ОС в случаи невозможности расшифровки
Подключение к Интернет не в песочнице проверка анализатором трафик (Wireshark)
Проверка процессов с помощью утилит sysinternals
При обнаружении бут кита:
Выявить пользователя с зараженным компьютером
Отключить компьютер из сети и изъять его
Заблокировать учетные записи пользователя и доступы
Переустановить BIOS или UEFI
Если не помогло заменить мат плату на компьютере ( Спасибо @OptimumOption за коментарий)
Проверить на заражения компьютеры в том же сегменте
RAT:
Отключаем компьютер от сети
Переустанавливаем OS
Подключение к Интернет не в песочнице проверка анализатором трафик (Wireshark)
Проверка процессов с помощью утилит sysinternals
Проверить утилитами на наличие буткитов
Если у вас замечания или уточнения по материалу статьи, пишите буду рад любым комментариями.