Zabezpieczenie danych w przypadku incydentu związanego z atakiem lub włamaniem do systemu informatycznego jest kluczowym elementem działań naprawczych. Prawidłowo przeprowadzona procedura zabezpieczenia danych umożliwi dokładną analizę, powstrzymanie dalszych ataków oraz likwidację skutków incydentu. Chociaż analiza danych po wystąpieniu incydentu jest skomplikowanym procesem, który wymaga zaawansowanej wiedzy specjalistów z zakresu informatyki śledczej, odpowiednie zabezpieczenie danych może znacząco przyspieszyć ten proces, co pozwala na szybsze przywrócenie normalnego funkcjonowania organizacji.
Poniżej przedstawiamy kroki, które należy podjąć w celu zabezpieczenia danych:
1. Określenie Zakresu Incydentu.
Należy dokładnie ocenić, które elementy infrastruktury zostały objęte incydentem, aby móc skoncentrować działania na najważniejszych obszarach.
2. Odłączenie Zainfekowanej Infrastruktury od Internetu
W celu powstrzymania dalszego rozprzestrzeniania się ataku, należy natychmiast odciąć interfejsy routera brzegowego.
3. Nie Wyłączać ani nie Restartować Systemu
Wyłączanie lub restartowanie systemu może spowodować utratę cennych danych, które są kluczowe dla analizy po włamaniowej.
4. Zbieranie Szczegółowych Informacji o Infrastrukturze
Zgromadzenie informacji o systemie operacyjnym, konfiguracji sieci, działających procesach, zawartości cache DNS i ARP, usługach, zaplanowanych zadaniach, użytkownikach i aktywnych sesjach jest niezbędne dla późniejszej analizy.
5. Zabezpieczenie Pamięci RAM Działającej Maszyny
W przypadku maszyn wirtualnych należy wykonać tzw. snapshot, co pozwoli na zachowanie stanu pamięci operacyjnej.
6. Wykonanie Kopii Binarnych
Należy zabezpieczyć dane przez wykonanie kopii działającego systemu operacyjnego, co umożliwi dokładną analizę stanu systemu w momencie incydentu.
7. Zabezpieczenie Logów
Logi systemowe i aplikacyjne są kluczowym źródłem informacji o przebiegu incydentu, dlatego muszą zostać odpowiednio zabezpieczone.
8. Unikanie Analizy Poincydentalnej na Zainfekowanym Urządzeniu
Analiza powłamaniowa powinna być przeprowadzana na oddzielnym, bezpiecznym systemie, aby nie ryzykować dalszego uszkodzenia dowodów.
9. Sporządzenie Raportu z Informacjami o Podjętych Czynnościach
Dokumentacja wszystkich działań podjętych w odpowiedzi na incydent jest niezbędna zarówno dla celów śledczych, jak i wewnętrznych raportów bezpieczeństwa.
10. Przekazanie Zgromadzonych Dowodów Specjalistom
Wszystkie zebrane dowody powinny być przekazane wykwalifikowanym specjalistom ds. informatyki śledczej, którzy przeprowadzą szczegółową analizę incydentu.
Przestrzeganie powyższych kroków pozwoli na efektywne zarządzanie incydentem bezpieczeństwa i przyczyni się do szybszego przywrócenia pełnej funkcjonalności systemu. W przypadku jakichkolwiek wątpliwości, zawsze warto skonsultować się z odpowiednimi specjalistami ds. informatyki śledczej, aby zapewnić najwyższy poziom ochrony danych.
