it-swarm-korea.com

DDoS 공격 후보고하는 방법은 무엇입니까? 보고서에 어떤 정보를 작성해야합니까?

우리 회사에서 서버에 대한 DDOS 후 고용주는 공격을 분석하고 몇 가지 내용을 적어달라고 요청했습니다.

보고서에 무엇을 기록해야한다고 생각하십니까?
사고 후 사용할 수있는 CIRT 또는 다른 조직에서 사용할 수있는 템플릿이 있습니까?
이러한 종류의 보고서에 대한 모범 사례는 무엇입니까?

첫 번째 분석에서 공격이 계획된 위치 (IRC 채널))를 찾았습니다.
사용한 도구에 대한 정보와 도구를 다운로드 할 수있는 URL을 찾았습니다.
공격은 (실제로 알고 있듯이) 어떤 종류의 봇넷이 아닌 LOIC로 이루어집니다.
공격은 계층 적 조직없이 계획되었지만 작은 선언문을 공유하고 IRC 그리고 표적에 대한 정보와 공격 시간이 포함 된 JPG의 트위터.
이 공격 주위에있는 사람들에 대한 정보도 적어야합니까?

어떠한 제안?

제발 : 하나의 제안 하나의 답변, 그래서 우리는 마지막에 커뮤니티 모범 사례를 가질 수 있습니다 :)

16
boos

좋은 링크가 없어서 죄송합니다.

무슨 일이 있었나요?

  • 언제 발생했으며 얼마나 오래 지속 되었습니까?
  • 누가 그리고 어떻게 했습니까?
  • 영향을받은 부분-어떤 사이트, 어떤 서버, 몇 대의 서버, 비즈니스의 어떤 부분? 어떤 고객?
  • 근본 원인 분석

영향은 무엇입니까?

  • 서버 손상
  • 정보의 훼손/노출
  • 기업 평판 손상
  • 인간의 생명에 대한 피해 (이것은 확실히 아니오라는 손가락을 교차 !!!)
  • 복구 비용 (시간, 장비 등)

중지/예방

  • 지금까지 무엇을 했습니까? 즉각적인 대응과 지속적인 업데이트로 분류
  • 그 밖에 무엇을해야합니까?
  • 이 일이 다시 일어날 것으로 예상되는 것은 무엇입니까?
  • 이와 비슷하지만 똑같은 것은 어떻습니까?
  • 이러한 유형의 위험을 방지/완화하기 위해 향후 프로세스를 변경할 수 있습니까?

과거/현재/미래로의 침입-우리는 즉시 무엇을했고, 지금 무엇을하고 있으며, 높은 수준의 자금을 필요로하는 미래에해야 할 큰 일은 무엇입니까?

미래 예후

  • 보고서의 모든 작업을 수행하면 향후 공격에 대한 시스템 상태는 어떻습니까? 아마도 "방탄"이 아닐 수 있으므로 가능성에 대한 평가를 제공하십시오.
  • 시스템을 현재 (부분적으로 고정 된?) 상태로두면 어떨까요?
22
bethlakshmi