Mindmap-Galerie CISSP-7-Sicherheitsoperationen
CISSP-Information System Security Professional-Zertifizierung Mindmap für Sicherheitsvorgänge, einschließlich: Grundkonzepte, Grundkonzepte von Sicherheitsvorgängen, Änderungsmanagement, Konfigurationsmanagement, Patch- und Schwachstellenmanagement sowie Vorfallmanagement.
Bearbeitet um 2021-11-10 12:08:07Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Einhundert Jahre Einsamkeit ist das Meisterwerk von Gabriel Garcia Marquez. Die Lektüre dieses Buches beginnt mit der Klärung der Beziehungen zwischen den Figuren. Im Mittelpunkt steht die Familie Buendía, deren Wohlstand und Niedergang, interne Beziehungen und politische Kämpfe, Selbstvermischung und Wiedergeburt im Laufe von hundert Jahren erzählt werden.
Projektmanagement ist der Prozess der Anwendung von Fachwissen, Fähigkeiten, Werkzeugen und Methoden auf die Projektaktivitäten, so dass das Projekt die festgelegten Anforderungen und Erwartungen im Rahmen der begrenzten Ressourcen erreichen oder übertreffen kann. Dieses Diagramm bietet einen umfassenden Überblick über die 8 Komponenten des Projektmanagementprozesses und kann als generische Vorlage verwendet werden.
Sichere Operation
Basiskonzept
Betriebssicherheit
Behandelt den Schutz und die Kontrolle von Informationsbeständen in zentralisierten und verteilten Umgebungen.
Betriebssicherheit ist eine Qualität anderer Dienste und stellt selbst eine Reihe von Diensten dar
sichere Operation
Tägliche Aufgaben, die erforderlich sind, um den effizienten und zuverlässigen Betrieb von Sicherheitsdiensten sicherzustellen
Geschäftskontinuitätsplan und Notfallwiederherstellungsplan
THEMEN
Untersuchungen
Handhabung der Beweiserhebung
Reporting und Dokumentation
Ermittlungstechniken
Digitale Forensik
Untersuchungsarten
Betriebsbereit
Kriminell
Bürgerlich
Regulatorisch
Elektronische Entdeckung (eDiscovery)
Protokollierung und Überwachung
Erkennung und Verhinderung von Einbrüchen
Erkennung und Verhinderung von Einbrüchen
Kontinuierliche Überwachung
Ausgangsüberwachung
Bereitstellung von Ressourcen
Vermögensinventur
Konfigurationsmanagement
Physische Vermögenswerte
Virtuelle Vermögenswerte
Cloud-Assets
Anwendungen
Grundlegende Sicherheitsbetriebskonzepte
Wissenswertes/geringste Privilegien
Trennung von Aufgaben und Verantwortlichkeiten
Überwachen Sie besondere Privilegien
Jobwechsel
Informationslebenszyklus
Service Level Agreements
Ressourcenschutztechniken
Medienmanagement
Hardware- und Software-Asset-Management
Reaktion auf Vorfälle
Erkennung
Antwort
Schadensbegrenzung
Berichterstattung
Erholung
Sanierung
Gewonnene Erkenntnisse
Vorbeugende Maßnahmen
Firewalls
Systeme zur Erkennung und Verhinderung von Einbrüchen
Whitelisting/Blacklisting
Sicherheitsdienste Dritter
Sandboxen
Honeypots/Honeynets
Anti-Malware
Patch- und Schwachstellenmanagement
Change-Management-Prozesse
Wiederherstellungsstrategien
Backup-Speicherstrategien (z. B. Offsite-Speicherung, elektronisches Vaulting, Bandrotation) und Wiederherstellungsstandortstrategien
Mehrere Verarbeitungsstandorte (z. B. betrieblich redundante Systeme)
Systemstabilität, hohe Verfügbarkeit, Servicequalität und Fehlertoleranz
Disaster-Recovery-Prozesse
Antwort
Personal
Kommunikation
Bewertung
Wiederherstellung
Schulung und Bewusstsein
Notfallwiederherstellungspläne
Durchlesen
Komplettlösung
Simulation
Parallel
Vollständige Unterbrechung
Planung und Ausübung der Geschäftskontinuität
Physische Sicherheit
Umfang
Intern
Personensicherheit
Ziele
■ Untersuchungen verstehen und unterstützen.
■ Anforderungen an Untersuchungstypen verstehen.
■ Durchführung von Protokollierungs- und Überwachungsaktivitäten.
■ Sichern Sie die Bereitstellung von Ressourcen.
■ Grundlegende Sicherheitsbetriebskonzepte verstehen und anwenden.
■ Techniken zum Ressourcenschutz einsetzen.
■ Führen Sie eine Reaktion auf Vorfälle durch.
■ Vorbeugende Maßnahmen betreiben und aufrechterhalten.
■ Patch- und Schwachstellenmanagement implementieren und unterstützen.
■ An Change-Management-Prozessen teilnehmen und diese verstehen (z. B. Versionierung, Baselining, Sicherheitsauswirkungsanalyse).
■ Wiederherstellungsstrategien umsetzen.
■ Implementieren Sie Disaster-Recovery-Prozesse.
■ Testen Sie den Notfallwiederherstellungsplan.
■ Nehmen Sie an der Planung und Durchführung von Geschäftskontinuitätsübungen teil.
■ Physische Sicherheit implementieren und verwalten.
■ Beteiligen Sie sich an der Sicherheit des Personals (z. B. Zwang, Reisen,
Grundkonzepte für sicheren Betrieb
Schlüsselthemen
Behalten Sie die betriebliche Ausfallsicherheit bei
Entscheidende geschäftliche Widerstandsfähigkeit Kontinuität wahren
Entwickeln Sie einen Notfallplan
Überwachung und Reaktion in Echtzeit
Schützen Sie wertvolle Vermögenswerte
Sorgen Sie für die routinemäßige Wartung verschiedener Vermögenswerte
Schützen Sie Vermögenswerte vor Schäden
Kontrollsystemkonto
Behalten Sie die Kontrolle über den Benutzerzugriff auf geschäftskritische Systeme
Stellen Sie Schecks und Guthaben für verschiedene Konten bereit, insbesondere für privilegierte Konten, um sicherzustellen, dass es sich dabei um legitime Geschäftsanforderungen handelt
Verwalten Sie Sicherheitsdienste effektiv
Änderungs-, Konfigurations- und Problemmanagement von IT-Services
Sicherheitsbezogene Programme wie Benutzerzuteilungs- und Helpdesk-Programme
Konzentrieren Sie sich auf Berichterstattung und kontinuierliche Serviceverbesserungspraktiken
Anforderungen an das Betriebspersonal
umsichtiger Mann eine verantwortungsbewusste, umsichtige, weise und fähige Person
gebührende Sorgfalt gebührende Sorgfalt
Es wurden angemessene Schutzmaßnahmen getroffen
Due-Diligence-Prüfung
Erfüllen Sie Aufgaben im täglichen Management
Kontrollieren Sie privilegierte Konten
Kontrollieren Sie streng die Anzahl und Art der Konten
Nutzen Sie diese Lösungen am effektivsten und stellen Sie gleichzeitig sicher, dass privilegierte Konten sorgfältig verwaltet werden
Überwachen Sie sorgfältig die Kontoverwaltungsberechtigungen des Systems
Dienstkonto
Das Konto, das das Skript ausführt
Identitäts- und Zugriffsmanagement (IAM) Identitäts- und Zugriffsmanagement
die Bereitstellung der Benutzerbenutzerkonfiguration
Verwaltung ihres Zugriffs über mehrere Systeme hinweg Verwaltung ihres Zugriffs über mehrere Systeme hinweg
Native Zugangskontrollsysteme, lokale Zugangskontrollsysteme
Notwendiges Wissen und geringste Privilegien (komplementär zueinander)
muss es wissen
Mindestumfang an Wissen und Zugang, der auf der Grundlage beruflicher oder geschäftlicher Anforderungen gewährt wird
Betriebssicherheit ist das A und O
Wird häufig im Militär verwendet
Geringste Privilegien, geringste Privilegien
Fordern Sie Benutzer oder Prozesse auf, Arbeiten, Aufgaben und Funktionen ohne unnötige Zugriffsrechte auszuführen
Ziel
Beschränken Sie Benutzer und Prozesse auf den Zugriff auf nur die Ressourcen und Tools, die zum Ausführen bestimmter Aufgaben erforderlich sind
Grenze
zugängliche Ressourcen
Was Benutzer tun können
Verwalten Sie Konten mithilfe von Gruppen und Rollen
Verschiedene Arten von Konten
Privilegiertes Konto
Root- oder integriertes Administratorkonto
Allzweck-Standardkonto zur Verwaltung von Geräten und Systemen
sicher kontrollieren
Machen Sie die Namensänderung so streng wie möglich
Das Standardpasswort muss geändert werden
Protokolle zeichnen persönliches Verhalten mithilfe des Root-Kontos auf
Bei der Remote-Anmeldung mit dem Root-Konto
Sitzungen sollten stark verschlüsselt und überwacht werden
Verwenden Sie Multi-Faktor-Authentifizierungsmethoden
Dienstkonto
Privilegierter Zugriff, der von Systemdiensten und Kernanwendungen verwendet wird
Passwörter sind komplex und werden häufig geändert
Überlegen Sie, wie Sie kompromittierte Konten zurückfordern und schließen können
Administratorkonto
Diese Konten werden bestimmten Personen zugewiesen, die zur Durchführung von Wartungsaufgaben privilegierten Zugriff auf das System benötigen
Diese Konten sollten vom regulären Konto des Benutzers getrennt sein
Kontopasswörter sollten sicher und zuverlässig an Einzelpersonen weitergegeben werden
Administratoren sollten den Erhalt von Rechnungen schriftlich bestätigen und die Organisationsregeln einhalten
Nicht mehr genutzte Konten sollten umgehend gelöscht werden.
Alle Aktivitäten sollten überprüft werden
Stellen Sie zusätzliche Protokollierungssysteme bereit
Multi-Faktor-Authentifizierung
Wurzel
Diese Kontoberechtigungen werden aufgrund von Arbeitsanforderungen über die normalen Benutzerberechtigungen hinaus gewährt, erfordern jedoch keine Administratorberechtigungen.
Superuser können Software auf ihren eigenen Desktops installieren
Die Annahme des Kontos sollte schriftlich erfolgen und unter Einhaltung organisatorischer Regeln erfolgen, beispielsweise durch die Unterzeichnung einer Sicherungsvereinbarung
Normales oder eingeschränktes Benutzerkonto
Die meisten Benutzer
Basierend auf dem Prinzip des geringsten Privilegs oder des Wissens, was notwendig ist
Aufgabentrennung
Definition: Aufteilen einer Schlüsselaufgabe in verschiedene Teile, wobei jeder Teil von einer anderen Person ausgeführt wird
der Mitschuldige
Betrug erfordert die Zusammenarbeit vieler Menschen
Zweck
Einschränkungen zur Verringerung des Risikos von Vandalismus
Ergänzung zur Reduzierung der Wahrscheinlichkeit unbeabsichtigter Auslassungen und Fehler
Grund
Unterschiedliche sicherheitsrelevante Aufgaben erfordern unterschiedliche Fähigkeiten
Teilen Sie Administratoraufgaben in mehrere Rollen auf, um unterschiedliche Vertrauensebenen zu gewährleisten
Verhindern Sie, dass sicherheitsrelevante Funktionen an eine Rolle oder Person delegiert werden
Systemadministrator
geringstes Privileg
Bestimmen Sie nach Bedarf den erforderlichen Zugriff und die Anwendungen
Monitor
Das Verhalten wird durch Protokolle geprüft und an ein separates Prüfsystem gesendet
Betrug verhindern
Administratoren sind nicht in der Lage, böswillige Aktivitäten durchzuführen, ohne mit anderen zusammenzuarbeiten
Überprüfung
Jobwechsel
Operator
Berufliche Verantwortlichkeiten
Führen Sie den täglichen Betrieb des Hosts durch, stellen Sie sicher, dass geplante Arbeiten effektiv ausgeführt werden, und lösen Sie mögliche Probleme
Berechtigungsbeschreibung
Bediener verfügen über hohe, jedoch niedrigere Berechtigungen als Systemadministratoren. Diese Berechtigungen können die Sicherheitsrichtlinie des Systems umgehen. Die Verwendung dieser Berechtigungen sollte überwacht und protokolliert werden.
sicher kontrollieren
geringstes Privileg
Monitor
Bedieneraktionen werden aufgezeichnet und an ein unabhängiges System gesendet, das nicht vom Bediener kontrolliert wird
Aufgabentrennung
Administratoren sind nicht in der Lage, sich an böswilligen Aktivitäten zu beteiligen, ohne mit anderen zusammenzuarbeiten
Überprüfung
Sicherheitsadministrator
Funktion: Definieren Sie Systemsicherheitseinstellungen und arbeiten Sie mit Administratoren zusammen, um entsprechende Konfigurationen durchzuführen, eine Überprüfung und Ausgewogenheit der Rechte bereitzustellen und Prüf- und Überprüfungsaktivitäten für Systemadministratoren bereitzustellen
Hauptaufgabe
Kontoverwaltung
Zuweisung sensibler Etiketten
Systemsicherheitseinstellungen
Überprüfung der Auditdaten
Help-/Servicedesk-Personal
Bieten Sie First-Line-Support
Setzen Sie das Benutzerpasswort bei Bedarf zurück
Führen Sie Überwachungen und Hintergrundüberprüfungen durch
allgemeiner Benutzer
Erfordert Zugriff auf Informationstechnologieressourcen
Überwachungsrechte
Lizenz-, Eignungs- und Hintergrundprüfungen
In den folgenden Situationen sollte der Zugriff nicht gewährt werden (z. B. basierend auf IDS- und Firewall-Protokollen sollte der Zugriff auf eine IP sofort blockiert werden, was jedoch nicht der Fall ist; Anpassen der Uhr oder Löschen von Protokollen usw.)
Es gab in letzter Zeit einen gravierenden Mangel an entsprechendem Urteilsvermögen.
Wiederholte Verhaltensmuster mit hohem Risiko gegenüber Charakteren
Die Leistung des Charakters steht im Zusammenhang mit illegalen Aktivitäten.
KontovalidierungKontovalidierung
Ermitteln Sie vorhandene inaktive Konten (z. B. Konten für pensioniertes/im Ruhestand befindliches Personal, Konten für Personal im vorübergehenden Urlaub).
JobrotationenJobrotationen
Reduzieren Sie das Risiko kollusiver Aktivitäten zwischen Einzelpersonen
Zwei-Personen-Bedienung
Gegenseitige Betreuung vor Ort
Zwangsurlaub
Management des Informationslebenszyklus
Informationen haben ein Leben, das aus Erstellung, Nutzung und schließlich Zerstörung besteht. Der Lebenszyklus von Informationen umfasst Erzeugung, Verteilung, Nutzung, Wartung, Offenlegung, Entsorgung (Übertragung, sichere Verarbeitung).
Informationseigentümer Informationseigentümer
■ Bestimmen Sie die Auswirkungen der Informationen auf die Mission der Organisation.
■ Verstehen Sie die Wiederbeschaffungskosten der Informationen (sofern sie ersetzt werden können). Verstehen Sie die Wiederbeschaffungskosten der Informationen (sofern sie ersetzt werden können).
■ Bestimmen Sie, wer in der Organisation oder außerhalb der Organisation Bedarf an den Informationen hat und unter welchen Umständen die Informationen freigegeben werden sollten.Bestimmen Sie, wer innerhalb der Organisation oder außerhalb der Organisation Bedarf an den Informationen hat und unter welchen Umständen die Informationen freigegeben werden sollten .
■ Wissen, wann die Informationen ungenau sind oder nicht mehr benötigt werden und vernichtet werden sollten.Wissen, wann die Informationen ungenau sind oder nicht mehr benötigt werden und vernichtet werden sollten.
Klassifizierung und KategorisierungKlassifizierung und Klassifizierung
Bei der Klassifizierung geht es in erster Linie um den Zugang
Militär- oder Regierungsinformationen (geheim, geheim, streng geheim).
Bei der Kategorisierung geht es in erster Linie um die Wirkung.
Bestimmung der Auswirkungen des Verlusts der Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen (hoch, mittel, niedrig, zum Beispiel: extern veröffentlichte öffentliche Informationen vs. Risikobewertungsbericht)
Standardisieren Sie die Verteidigungsgrundlinien, um die Grundlinien zu standardisieren
Aufbewahrungsplan
■ Reduzieren Sie die Lagerkosten
■ Speichern Sie nur relevante Informationen, um die Suche und Indizierung zu beschleunigen
■Litigation Holds und elektronische Offenlegungen stoßen seltener auf Fehler, Vorentscheidungen oder ausgehandelte Informationen
(SLAs) Service Level Agreements
Was
Ein SLA ist ein einfaches Dokument, das den Servicegrad beschreibt, den ein Kunde von einem Lieferanten erhält, und Servicemessungen, Abhilfemaßnahmen oder Strafen aufzeigt, wenn die Vereinbarungsanforderungen nicht erfüllt werden.
Wenn das SLA aus Verschulden des Kunden nicht eingehalten wird, sollte es keine Strafe geben
SLA
extern
OLA (Operational Level Agreements).
intern
Warum
Stellen Sie sicher, dass beide Parteien die Anforderungen verstehen
Stellen Sie sicher, dass die Vereinbarung nicht absichtlich oder unabsichtlich falsch interpretiert wurde
WHO
Verschiedene Level haben unterschiedliche Preise
Ausgangspunkt für Verhandlungen
Wichtiger Abschnitt
Serviceelemente
Bieten Sie spezifische Dienstleistungen an
Serviceverfügbarkeitsstatus
Servicestandards (Zeitfenster)
Upgrade-Verfahren
Verantwortlichkeiten aller Parteien
Kompromiss zwischen Kosten und Service
Managementelemente
Definition von Messstandards und -methoden\Berichtsprozess\Inhalt und Häufigkeit\Streitbeilegungsprozess
SLAs werden auf dem neuesten Stand gehalten
Änderungen der Lieferantenkapazitäten und Serviceanforderungen
Entschädigung
Der Lieferant hat dem Kunden etwaige durch die Verletzung der Gewährleistung entstehende Kosten Dritter zu ersetzen
SLA ist nicht übertragbar
So überprüfen Sie das SLA
Statistiken
Messstandard
Serviceverfügbarkeit
FehlerratenFehlerrate
Technische Qualität
Sicherheit
Welche Betriebszeitbestimmungen für Netzwerkdienstanbieter typisch sind
99-prozentige Verfügbarkeit (was über 7 Stunden ungeplante Ausfallzeiten pro Monat ermöglicht).
99,9 Prozent (43,8 Minuten pro Monat)
99,99 Prozent (4,4 Minuten pro Monat).
Wann sollte das SLA überprüft werden?
Änderungsmanagement
Change-Management-Prozess
Anfragen
FolgenabschätzungFolgenabschätzung
Zustimmung/Ablehnung Zustimmung/Ablehnung
Erstellen und testen. Erstellen und testen
BenachrichtigungBenachrichtigung
ImplementierungImplementierung
Validierungsprüfung
Dokumentationsaufzeichnung
Konfigurationsmanagement
Ziel
Integrität während des gesamten Lebenszyklus von Produkten, Systemen und Projekten herstellen und aufrechterhalten
enthalten
Identifizieren von Konfigurationselementen für das Softwareprojekt. Identifizieren von Konfigurationselementen für das Softwareprodukt
Steuern dieser Konfigurationselemente und Änderungen an ihnen, Steuern von Konfigurationselementen und Änderungen an ihnen
Aufzeichnen und Melden des Status und der Änderungsaktivität für diese Konfigurationselemente, Aufzeichnen und Melden des Status und der Änderungsaktivität für diese Konfigurationselemente sowie Durchführen von Audits
Konfigurationsmanagement
Verwalten Sie Komponenten vom ersten Konzept über Design, Implementierung, Tests, Baseline, Build, Release und Wartung
Machen Sie unvermeidliche Veränderungen kontrollierbar
Richtlinien und Standards
■ Komponentensätze unterliegen dem Konfigurationsmanagement
■ Wie Komponenten benannt werden
■Wie Komponenten in Kontrollsätze eintreten und diese verlassen
■Wie sich Komponenten unter CM ändern dürfen.
■Wie verschiedene Versionen von Komponenten unter CM verfügbar sind
■Unter welchen Umständen kann jeder von ihnen verwendet werden?
■Wie CM-Tools das Konfigurationsmanagement ermöglichen und verbessern
Die CMMI-Schritte für CM
1. Identifizieren Sie die Konfigurationselemente, Komponenten und zugehörigen Arbeiten, die dem Konfigurationsmanagement unterliegen.
2. Einrichtung und Pflege von Konfigurationsmanagement- und Änderungsmanagementsystemen zur Steuerung der Arbeitsergebnisse
3. Erstellen und veröffentlichen Sie Baselines für den internen Gebrauch und Baselines für die Lieferung an Kunden.
4. Verfolgen Sie Änderungsanfragen für Konfigurationselemente.
5. Kontrollieren Sie Änderungen im Inhalt von Konfigurationselementen.
6. Erstellen und pflegen Sie Aufzeichnungen, die Konfigurationselemente beschreiben
7. Führen Sie Konfigurationsaudits durch, um die Integrität der Konfigurationselemente aufrechtzuerhalten.
Asset-Liste
Hardware-Bibliothek
1. Marke
2.Modell
3. MAC-Adressen
4. Seriennummer
5. Betriebssystem oder Firmware-Version
6. Standort
7. BIOS- und andere hardwarebezogene Passwörter
8. Gegebenenfalls zugewiesene IP-Adresse
9. Etiketten oder Barcodes für die organisatorische Vermögensverwaltung
Softwarebibliothek
1. Softwarename
2. Softwareanbieter (und ggf. Wiederverkäufer)
3. Passwort oder Aktivierungscode (beachten Sie, ob Hardwareschlüssel vorhanden sind)
4. Art der Lizenz und für welche Version
5.Anzahl der Lizenzen
6. Ablauf der Lizenz
7. Lizenzportabilität
8. Organisatorischer Softwarebibliothekar oder Vermögensverwalter
9. Organisatorischer Ansprechpartner für installierte Software
10. Upgrade, Voll- oder eingeschränkte Lizenz
Die Sicherheitsrolle von Software- und Hardwarebibliotheken
Sicherheitsexperten können Schwachstellen im Zusammenhang mit Hardwaretyp und -version schnell finden und beheben
Die Kenntnis der Art und des Standorts der Hardware im Netzwerk kann den Aufwand zur Identifizierung betroffener Geräte verringern
Durch Scannen können nicht autorisierte Geräte im Netzwerk entdeckt werden
Konfigurationsliste pflegen
Durch die Protokollierung und Verfolgung von Konfigurationsänderungen wird die Integrität und Verfügbarkeit des Netzwerks sichergestellt
Regelmäßige Kontrollen, um unbefugte Änderungen sicherzustellen
CM eignet sich für verschiedene Arten der Vermögensverwaltung
■ Physische Vermögenswerte (z. B. Server, Laptops, Tablets, Smartphones)
■ Virtuelle Assets (z. B. Software Defined Networks (SDNs), virtuelles SAN (vSAN)
Systeme, virtuelle Maschinen (VMs))
■ Cloud-Assets (z. B. Dienste, Fabrics, Speichernetzwerke, Mandanten)
■ Anwendungen (z. B. Workloads in privaten Clouds, Webdienste, Software as a Service (SaaS))
Sicht des Sicherheitsexperten
Patch- und Schwachstellenmanagement
Der Zweck des Patch-Managements
Richten Sie eine kontinuierliche Konfigurationsumgebung ein, um Betriebssysteme und Anwendungen vor bekannten Schwachstellen zu schützen
Wenn Hersteller Versionen aktualisieren, geben sie oft nicht die Gründe und Gründe für das Upgrade an.
Schritte zur Patch-Verwaltung
Sicherheitsexperten müssen feststellen, ob es sich um eine Schwachstelle handelt
Müssen Sie den Patch aktualisieren?
risikobasierte Entscheidungsfindung
Bedeutung von Patches
Management und Systembesitzer entscheiden, ob Patches aktualisiert werden
Wird es Auswirkungen auf das Geschäft haben?
Update-Patches wurden getestet und Restrisiken wurden behoben
Planen Sie Aktualisierungen
Benachrichtigen Sie Benutzer vor der Bereitstellung
Update nachts oder am Wochenende
Sicherungsserver vor der Bereitstellung
Nachdem das Update abgeschlossen ist, muss es in der Produktionsumgebung überprüft werden
Es können einige unsichtbare Probleme auftreten
Stellen Sie nach Abschluss der Bereitstellung sicher, dass alle entsprechenden Maschinen aktualisiert sind
Protokollieren Sie alle Änderungen
Verwaltung von Sicherheits- und Patchinformationen
Wichtiger Abschnitt
Beim Patch-Management geht es darum, sowohl über Sicherheitsprobleme als auch über Patch-Releases Bescheid zu wissen
Seien Sie sich der Sicherheitsprobleme und Softwareupdates bewusst, die für ihre Umgebung relevant sind
Es wird empfohlen, dass eine dedizierte Person und ein Team dafür verantwortlich sind, Administratoren und Benutzer auf Sicherheitsprobleme oder App-Updates aufmerksam zu machen.
Patch-Priorisierung und -Planung Patch-Priorität und Auftragsplanung
1. Der Patch-Lebenszyklus (Patch-Zyklus) leitet die normale Anwendung von Patches und Systemaktualisierungen
Zyklus
zeit- oder ereignisgesteuert
Hilft bei der Veröffentlichung und Aktualisierung der angewendeten Standard-Patches
2. Arbeitsplanung zur Handhabung kritischer Sicherheits- und Funktionspatches und -updates
Patch-Priorität und Dringlichkeitsplanung
Vom Anbieter gemeldete Kritikalität (z. B. hoch, mittel und niedrig)
Systemkritikalität
Bedeutung der Anwendungen und Daten des Systems
Patch-Tests
Breite und Tiefe der Patch-Tests
Systemkritikalität
Verarbeitete Daten
Umweltkomplexität
Verfügbarkeitsanforderungen
Verfügbare Ressourcen
Der Patch-Testprozess beginnt mit dem Erwerb von Software-Updates und kontinuierlichen Abnahmetests nach der Produktionsbereitstellung
Beim Erhalt von Patches ist eine Verifizierung erforderlich
Überprüfung der Quelle
Integritätsprüfung
Digitale Unterschrift
Prüfsumme
Test nach Abschluss der Patch-Verifizierung
Die Testumgebung ist möglichst nah an der Produktionsumgebung
Als Testumgebung können Sie Subsysteme des Produktivsystems nutzen
Patch-Änderungsmanagement
Änderungen sind bei jedem Schritt des Patch-Managements wichtig
Patching-Anwendungen sollten Notfall- und Fallback-Pläne umfassen
Integrieren Sie Strategien zur Risikominderung in Ihr Change-Management-Programm
Das Change-Management-Programm umfasst einen Überwachungs- und Akzeptanzplan
Demonstrieren Sie den Patch-Erfolg anhand konkreter Meilensteine und Akzeptanzkriterien
Aktualisierungen im geschlossenen Änderungssystem zulassen
Patch-Installation und -Bereitstellung
Die Bereitstellungsphase des Patch-Managements muss über erfahrene Administratoren und Ingenieure verfügen
Installation und Bereitstellung bedeuten, dass Patches und Updates auf Produktionssystemen tatsächlich implementiert werden
Ein technischer Faktor, der die Patch-Bereitstellung beeinflusst, ist die Werkzeugauswahl
Werkzeugauswahl
Kaufen
Selbstgebaut
Werkzeugtyp
agentenbasiert
agentenlose Systeme,
Stellen Sie Sicherheitspatches bereit
Pünktlich fertig
Kontrollierbar und vorhersehbar
Patch-Audit und -Bewertung
Routinemäßige Audits und Bewertungen messen den Erfolg und Umfang des Patch-Managements
zwei Fragen
Welche Systeme müssen wegen bekannter Schwachstellen oder Fehler gepatcht werden?
Wird das System mit echten Patches aktualisiert?
kritische Erfolgsfaktoren
Asset- und Host-Management
Ideale Hosting-Management-Software kann die Berichterstattung beanspruchen
Management-Tools
Systemerkennung und -prüfung als Teil des Prüfungs- und Bewertungsprozesses
Tools zur Systemerkennung
Entdecken Sie diese Systeme und helfen Sie dabei, sie unter das Dach der formalen Systemverwaltung und Patch-Compliance zu bringen.
Konsistenz und Zusammensetzung
Auditierungs- und Bewertungselemente in einem Patch-Management-Programm können dabei helfen, Systeme zu identifizieren, die nicht den Unternehmensrichtlinien oder anderen Bemühungen zur Reduzierung der Nichteinhaltung entsprechen.
System-Build-Tools und -Richtlinien sind die wichtigsten Durchsetzungsmittel, um die Einhaltung der Patch-Anforderungen zum Zeitpunkt der Installation sicherzustellen. System-Build-Tools und -Richtlinien sind die wichtigsten Durchsetzungsmittel, um die Einhaltung der Patch-Anforderungen zum Zeitpunkt der Installation sicherzustellen.
Patch-Management-Technologie ist sehr wichtig, aber Technologie allein reicht nicht aus
Bei Patch-Management-Lösungen handelt es sich um teambasierte Technologien, die auf der Grundlage gemeinsamer Anstrengungen Richtlinien- und Betriebslösungen bereitstellen, um den individuellen Anforderungen einer Organisation gerecht zu werden.
Schwachstellenmanagementsystem
Konfigurationsmanagement
Helfen Sie der Organisation, alle ihre Teile zu kennen
Schwachstellenüberprüfungen
Identifizieren Sie diese Schwächen
Art der Sicherheitslücke
Systemfehler
Unvollkommenheiten im Produktdesign
Pufferüberlauf
Konfigurationsfehler
stellen Implementierungsfehler dar, die ein System einem Angriff aussetzen.
Strategiefehler
Einzelpersonen versäumen es, die erforderlichen Sicherheitsvorkehrungen zu befolgen oder umzusetzen
Hostbasiertes Scannen
werden an der Systemkonsole oder durch den Einsatz von Agenten auf Servern und Workstations im gesamten Jahr durchgeführt
Identifizieren fehlender Sicherheitsupdates auf Servern
Identifizieren Sie nicht autorisierte Software oder Dienste, die auf ein kompromittiertes System hinweisen könnten
Sicherheitsscan anwenden
Datenbank-Sicherheitsscan
Konfigurationsfehler gefunden
Vorfallmanagement
Vorfallmanagement
Einschließlich Menschen, Technologie und Prozesse
Leitet alle vorfallbezogenen Aktivitäten und weist das Sicherheitspersonal auf einen vordefinierten und vorab autorisierten Weg zur Lösung.
Beschreiben Sie die durchgeführten Aktivitäten in Bezug auf die Rollen und Verantwortlichkeiten der an dem Vorfall beteiligten Parteien.
Sicherheitstechnologie verwalten
Grenzkontrolle
Die Trennung zwischen vertrauenswürdigeren und nicht vertrauenswürdigen Umgebungen
Firewalls, Router, Proxys und andere Technologien
Einzelsystem
auf Kernfunktionen und Endbenutzerprozesse
Der Sicherheitsbetrieb konzentriert sich darauf, sicherzustellen, dass die Technologie effektiv funktionieren kann, und überwacht ihre Wirksamkeit kontinuierlich
Sicherheitsmetriken und Berichte
Messung der Wirksamkeit von Sicherheitskontrollen
Sicherheitstechnik
ID/IPS
Angriffe, die erkannt oder blockiert wurden und erkannte oder blockierte Angriffe
Bereitstellung von Trends im Zeitverlauf, Bereitstellung von Trendanalysen
Firewall
Häufige Angriffsquellen über IP-Adressen und andere Mittel. Verfolgung von Angriffsquellen über IP-Adressen und andere Mittel
E-Mail-SicherheitsdiensteSichere E-Mail-Dienste
von der Menge an Malware oder Spam, die erkannt und blockiert wird. von der Menge an Malware oder Spam, die erkannt und blockiert wird
Konzentrieren Sie sich auf Indikatoren (Anzahl der Virenausbrüche, Top-10-Angriffsquellen-IPs, Anzahl und Anteil des entdeckten oder entfernten Spams)
Bericht
Die Berichterstattung über Sicherheitsoperationen ist von grundlegender Bedeutung und bildet die Grundlage für Sicherheitsoperationen
Zielgruppe des Berichts
Technische Berichte richten sich in der Regel an technische Experten oder Manager der direkten Servicebereitstellung
Management-ReportingManagement-Reporting
Bereitstellung von Zusammenfassungen mehrerer Systeme sowie wichtiger Kennzahlen für jeden der im Bericht abgedeckten Dienste
Executive-DashboardsExecutive-Dashboards
indem Sie nur die Highlights mehrerer Dienste sehen
Bereitstellung einfacher Zusammenfassungen des aktuellen Status, Bereitstellung von Zusammenfassungen des aktuellen Status für Führungskräfte
normalerweise in einer sehr visuellen Form wie Diagrammen und Grafiken
Häufigkeit der Berichterstattung
operativer Ebene
jährlich, monatlich, wöchentlich oder sogar täglich,
Monitor
Prävention und Systeme zur Einbruchserkennung
Identifizieren und reagieren Sie auf vermutete sicherheitsrelevante Ereignisse in Echtzeit oder nahezu in Echtzeit. Wird verwendet, um vermutete sicherheitsrelevante Ereignisse in Echtzeit oder nahezu in Echtzeit zu identifizieren und darauf zu reagieren.
Netzwerkbasierte Einbruchmeldesysteme
Der Schwerpunkt liegt auf der Analyse des Netzwerkverkehrs basierend auf der Netzwerkverkehrsanalyse
hostbasierte Einbruchmeldesysteme
Konzentrieren Sie sich auf Prüfprotokolle und Prozesse innerhalb eines einzigen Systems
IDS
außerhalb der Bandbreite
IPS
im Einklang
Signatur- oder Mustervergleichssysteme Mustervergleich (oder Signaturanalyse)
Auf Protokollanomalien basierende SystemeAnomaliebasiertes Einbrucherkennungssystem
Auf statistischen Anomalien basierende Systeme Einbrucherkennungssystem basierend auf statistischen Anomalien
Fehlalarm
Falsch positiv
Falsch-Negative
Falsch negativ
Anti-Malware-System
auf einzelnen Hosts installiert, auf Systemen, die auf einzelnen Hosts und Systemen bereitgestellt werden
Unified Threat Management (UTM)-Sicherheitsgateway
Kontinuierliche UpdatesAktualisieren Sie die Virendatenbank kontinuierlich
überwacht, um sicherzustellen, dass sie weiterhin aktiv und wirksam sind
Automatisches Scannen nach neuen Medien und E-Mail-Anhängen. Stellen Sie eine automatische Scan-Richtlinie für Medien und E-Mail-Anhänge bereit
Das Scannen sollte regelmäßig geplant und durchgeführt werden.
(SEIM) Security Information Event Management System
Ein Nachteil von Systemprotokollen besteht darin, dass sie einen Einblick in das einzelne System bieten. Der Nachteil von Systemprotokollen besteht darin, dass sie nur eine einzelne Systemperspektive bieten können und keine Protokolle und Informationen über verwandte Ereignisse bereitstellen können, die mehrere Systeme betreffen.
Bereitstellung einer gemeinsamen Plattform für die Protokollerfassung, -zusammenstellung und -analyse in Echtzeit. Bereitstellung einer gemeinsamen Plattform für die Protokollerfassung, -zusammenstellung und -analyse in Echtzeit.
Bereitstellung von Berichten über historische Ereignisse unter Verwendung von Protokollinformationen aus mehreren Quellen
Protokollverwaltungssysteme sind ähnlich. Protokollverwaltungssysteme sind ähnlich
kombiniert mit S E IM-Lösungen kombiniert mit SEIM-Lösungen
Echtzeitfunktionen ermöglichen Echtzeitanalysen.
Aufrechterhaltung einer disziplinierten Praxis der Protokollspeicherung und -archivierung. Aufrechterhaltung einer strikten Protokollspeicherungs- und -archivierungsdisziplin
Moderne Reporting-Tools können auch verwendet werden, um Informationen zu Sicherheitsereignissen in nützliche Business Intelligence umzuwandeln. Moderne Reporting-Tools können auch verwendet werden, um Informationen zu Sicherheitsereignissen in nützliche Business Intelligence umzuwandeln.
Antwort
Eindämmungsstrategie (zum Beispiel: Virenquellen vom Netzwerk abschneiden, infizierte Hosts kontrollieren)
■ Die Notwendigkeit, forensische Beweise für mögliche rechtliche Schritte aufzubewahren, um forensische Beweise mit rechtlichen Schritten zu sichern
■ Die Verfügbarkeit von Diensten, die die betroffene Komponente bereitstellt. Stellen Sie die betroffene Komponente bereit, um die Verfügbarkeit von Diensten aufrechtzuerhalten
■ Der mögliche Schaden, der entstehen kann, wenn die betroffene Komponente an Ort und Stelle bleibt. Ersetzen Sie die betroffene Komponente, um mögliche Schäden zu vermeiden.
■ Die Zeit, die erforderlich ist, damit die Eindämmungsstrategie wirksam ist.
■ Die Ressourcen, die zum Eindämmen der betroffenen Komponente erforderlich sind.
Verzögerte Eindämmungsstrategien führen zu tieferen Auswirkungen
zu weiteren Angriffen führen
Das auslösende Ereignis und die damit verbundenen Informationen sollten so weit wie möglich aufgezeichnet werden
Es sollten immer mehr Informationen zusammenkommen, bis der Vorfall vom Sicherheitsteam als gelöst gilt
Bericht
Richtlinien und VerfahrenRichtlinien und Verfahren müssen definiert werden
■ Müssen die Medien oder die Außenpolitikgruppe einer Organisation einbezogen werden?
■ Muss die Rechtsabteilung der Organisation in die Überprüfung einbezogen werden? Muss die Rechtsabteilung der Organisation in die Überprüfung einbezogen werden?
■ An welchem Punkt erfolgt die Benachrichtigung über den Vorfall an das Linienmanagement, an welchem Punkt erreicht der Vorfall an das Linienmanagement und die mittleren Führungskräfte werden benachrichtigt?
mittleres Management, oberes Management, der Vorstand oder die Stakeholder? Direktor? Ein Vorstand?
■ Welche Vertraulichkeitsanforderungen sind zum Schutz der Vorfallinformationen erforderlich? Welche Vertraulichkeitsanforderungen gelten zum Schutz der Vorfallinformationen?
■ Welche Methoden werden für die Meldung verwendet? Welche Auswirkungen hat ein E-Mail-Angriff auf den Melde- und Benachrichtigungsprozess? Wie werden Melde- und Benachrichtigungsverfahren eingeleitet, wenn ein E-Mail-System kompromittiert wird? Mobiltelefon, Erstarrung, Notfallkontakt?
genesen
Stellen Sie das Computer-Image verlustfrei wieder her
Der erste Schritt zur Genesung ist die Ausrottung
Ausrottung ist der Prozess der Beseitigung der Bedrohung. (Wenn ein System mit einem Virus infiziert ist und nicht mehr ordnungsgemäß funktioniert, kann das Problem durch eine gründliche Desinfektion behoben werden.)
Stellen Sie das System wieder her oder reparieren Sie es in einem bekanntermaßen guten Zustand.
Wenn das letzte bekannte Bild oder der letzte bekannte Zustand die tatsächliche Ursache des Ereignisses enthält, Dann wird die Wiederherstellung sehr kompliziert. In diesem Fall sollte ein neues Image erstellt werden. Und testen Sie die Anwendung, bevor Sie sie in die Produktionsumgebung verschieben.
Korrekturen und Überprüfungen (Lessons Learned)
Das Wichtigste bei der Reaktion auf Vorfälle ist die Zusammenfassung von Erfahrungen und Erkenntnissen
(RCA) Ursachenanalyse
Arbeiten Sie rückwärts, um zu bestimmen, was das Ereignis überhaupt erst ermöglicht hat. Arbeiten Sie rückwärts, um die Ursache des Ereignisses zu ermitteln, und arbeiten Sie Schicht für Schicht vorwärts entdeckt.
R CA kann schnell Grenzen zwischen technischen, kulturellen und organisatorischen Grenzen überschreiten.RCA kann schnell Grenzen zwischen technischen, kulturellen und organisatorischen Grenzen überschreiten.
Sanierungsreparatur
von R C A werden dann vom Management auf Annahme und Implementierung überprüft. Die Grundanalyse wird vom Management überprüft, um zu entscheiden, ob sie übernommen und implementiert werden sollen
Problemmanagement
Vorfallmanagement
Bewältigung eines unerwünschten Ereignisses
Begrenzung der Auswirkungen eines Vorfalls, Begrenzung der Auswirkungen eines Vorfalls.
Problemmanagement
Zurückverfolgen dieses Ereignisses bis zur Grundursache und Beheben des zugrunde liegenden Problems. Zurückverfolgen des Ereignisses bis zur Grundursache und Beheben des zugrunde liegenden Problems
Behebung von Mängeln, die den Vorfall möglich oder erfolgreicher gemacht haben. Behebung von Mängeln, die den Vorfall möglich oder erfolgreicher gemacht haben.
Eine längerfristige Sichtweise dauert länger
Vorfälle, wie sie im Betriebsumfeld auftreten, der langfristige Verlauf von Ereignissen, die im Betriebsumfeld auftreten
Finden Sie den zugrunde liegenden Fehler heraus, da hierfür möglicherweise bestimmte Bedingungen erforderlich sind, die möglicherweise nicht häufig auftreten.
Sicherheitsaudits und -überprüfungen – Vorläufer der Schadensbegrenzung
Sicherheitsaudit
von einem unabhängigen Dritten durchgeführt
bestimmt den Grad der Umsetzung der erforderlichen Kontrollen.
Interne BewertungenInterne Bewertungen
wird von einem Mitarbeiter der Organisation durchgeführt, der keine Managementverantwortung für das System trägt.
Externe BewertungenExterne Bewertungen
externe Stellen einbeziehen, die das System anhand der organisatorischen Sicherheitsanforderungen bewerten.
eine unabhängige Beurteilung des Systems liefern.
SicherheitsüberprüfungSicherheitsüberprüfung
durchgeführt vom Systemwartungs- oder Sicherheitspersonal zur Entdeckung durchgeführt vom Systemwartungs- oder Sicherheitspersonal zur Entdeckung durchgeführt vom Systemwartungs- oder Sicherheitspersonal zur Entdeckung von Systemschwachstellen
Schwachstellenbewertung. Schwachstellenbewertung
PenetrationstestsPenetrationstests
mit physischem Zugang zum System oder von außerhalb des Systems und der Anlage durchgeführt werden.
Das Ergebnis des Sicherheitsaudit- und -überprüfungsprozesses Das Ergebnis des Sicherheitsaudit- und -überprüfungsprozesses sollte als Elemente und Probleme aufgelistet werden, die auf organisierte Weise angegangen werden müssen
Untersuchung
Glossar
digitale Umfrage
Computerforensik, digitale Forensik und Netzwerkforensik bis hin zur elektronischen Datenermittlung, Cyberforensik und forensischem Computing.
Basierend auf methodischen, überprüfbaren und überprüfbaren Verfahren und Protokollen
American Academy of Forensic Sciences (AAFS) Amerikanische Akademie für forensische Wissenschaft und Technologie
Digital Forensic Science Research Workshop (DFRWS)Digital Forensic Science Research Workshop
Leitfaden zur Beweiserhebung
Beweise identifizieren. Beweise identifizieren
Sammeln oder Beschaffen von Beweismitteln. Sammeln oder Beschaffen von Beweismitteln
Untersuchen oder Analysieren der BeweiseUntersuchen oder Analysieren der Beweise
Präsentation der Ergebnisse. Präsentation der Beweise
Tatort
formales Prinzip
1. Identifizieren Sie die Szene, bestimmen Sie die Szene,
2. Die Umwelt schützen, die Umwelt schützen,
3. Identifizieren Sie Beweise und potenzielle Beweisquellen.Identifizieren Sie Beweise und potenzielle Beweisquellen.
4. Beweise sammeln, Beweise sammeln,
5. Minimieren Sie den Verschmutzungsgrad
Umfeld
physische Umgebung
Server, Workstation, Laptop, Smartphone, digitales Musikgerät, Tablet
relativ einfach zu handhaben;
virtuelle Umgebung
es schwierig ist, den genauen Ort des Beweismittels zu bestimmen oder das Beweismittel zu beschaffen,
z. B. Daten in einem Cluster oder GRID oder Storage Area Networks (SANs))
dynamische Beweise
Daten liegen in einer dynamischen Betriebsumgebung vor
Für den Sicherheitsexperten wird es schwieriger, die virtuelle Szene zu schützen
Motive, Chancen und Mittel MOM
Motivation
Wer und wieso
Chance
wann und wo
Weg
Kriminelle brauchen die Fähigkeit, erfolgreich zu sein
Computerkriminalität
Verwendung MO
Kriminelle nutzen bei der Begehung von Straftaten unterschiedliche Vorgehensweisen, anhand derer verschiedene Arten von Straftaten identifiziert werden können
Roccas Tauschgesetz
Es wird festgestellt, dass Kriminelle beim Wegnehmen etwas zurücklassen
Allgemeine Richtlinien G8
Beim Umgang mit digitalen Beweismitteln sind alle gängigen forensischen und prozessualen Grundsätze anzuwenden.
Die Beweisaufnahme kann die Beweise nicht ändern.
Wenn es für eine Person erforderlich ist, auf digitale Originalbeweise zuzugreifen, muss diese Person für diesen Zweck geschult werden.
Alle Aktivitäten im Zusammenhang mit der Beschlagnahme, dem Zugriff, der Speicherung oder der Übermittlung digitaler Beweise müssen vollständig dokumentiert, aufbewahrt und zur Überprüfung und Inspektion verfügbar sein.
Wenn sich jemand im Besitz digitaler Beweismittel befindet, muss diese Person für alle Aktivitäten im Zusammenhang mit den digitalen Beweismitteln verantwortlich sein.
Jede Behörde, die für die Erfassung, den Zugriff, die Speicherung und die Übermittlung digitaler Beweise verantwortlich ist, ist für die Einhaltung dieser Grundsätze verantwortlich.
Faustregeln
■ Minimieren Sie die Handhabung/Beschädigung von Originaldaten.
■ Berücksichtigen Sie alle Änderungen und führen Sie detaillierte Protokolle Ihrer Aktionen.
■ Halten Sie die fünf Beweisregeln ein.
■ Überschreiten Sie nicht Ihr Wissen.
■ Befolgen Sie Ihre lokalen Sicherheitsrichtlinien und holen Sie eine schriftliche Genehmigung ein.
■ Erfassen Sie ein möglichst genaues Bild des Systems.
■ Seien Sie bereit, auszusagen.
■ Stellen Sie sicher, dass Ihre Aktionen wiederholbar sind.
■ Arbeiten Sie schnell.
■ Gehen Sie von flüchtigen zu dauerhaften Beweisen über.
■ Führen Sie keine Programme auf dem betroffenen System aus.
Handhabung des Events Strategie, Rollen und Verantwortlichkeiten
Die Richtlinie muss klar und prägnant sein und das Team für die Reaktion/Bearbeitung von Vorfällen in die Lage versetzen, alle Vorfälle zu bearbeiten
Personalbesetztes und gut ausgebildetes Incident-Response-Team
virtuelles Team
Engagiertes Team
Hybrid-Modus-Team
Ressourcen auslagern
Ein viertes Modell, das einige Organisationen verwenden, würde ausgelagerte Ressourcen beinhalten, die „auf Abruf“ für die Teilnahme an einer Untersuchung oder als Mitglieder eines Reaktionsteams verfügbar sind.
Kernbereiche des Reaktionsteams
Der Aufbau eines Teams erfordert Schulung und Aktualisierung, was einen enormen Ressourcenaufwand erfordert.
Gehen Sie mit öffentlichen Offenlegungen mit Vorsicht um
Reaktion auf Vorfälle
Die Reaktion auf Vorfälle oder die Behandlung von Vorfällen ist zu einer Hauptaufgabe der Sicherheitsabteilungen von Organisationen geworden
Rahmenbedingungen
Schaffung einer Reaktionsfähigkeit;
Umgang mit Vorfällen und Reaktion;
Erholung und FeedbackErholung und Feedback;
Umgang mit Vorfällen und Reaktion
Definition
Ein Ereignis ist ein negatives Ereignis, das beobachtet, überprüft und aufgezeichnet werden kann
Ein Vorfall ist eine Reihe von Ereignissen, die sich negativ auf ein Unternehmen und seine Sicherheitslage auswirken
Reaktion auf Vorfälle: Etwas hat sich auf das Unternehmen ausgewirkt und zu einer Sicherheitsverletzung geführt, und die Behebung des Problems wird zur Reaktion auf Vorfälle oder zur Behandlung von Vorfällen
Schritt
Diagnose
Enthält Unterphasen wie Ereigniserkennung, Identifizierung und Benachrichtigung;
Klassifizieren Sie Ereignisse nach ihrem potenziellen Risikoniveau, das von Ereignistyp, Quelle (intern oder extern), Wachstumsrate und Fehlerunterdrückungsfähigkeiten beeinflusst wird.
Der Umgang mit falsch-positiven Ereignissen/falsch-positiven Ergebnissen ist am zeitaufwändigsten;
Wenn es sich um ein reales Ereignis handelt, sind eine Klassifizierung (basierend auf den Anforderungen der Organisation) und eine Klassifizierung (Bestimmung des potenziellen Risikoniveaus oder der Kritikalität des Ereignisses) erforderlich
Untersuchung
Beschäftigt sich direkt mit der Analyse, Interpretation, Reaktion und Wiederherstellung von Ereignissen;
Die Untersuchung umfasst die entsprechende Sammlung relevanter Daten, die in der Analyse und in den nachfolgenden Phasen verwendet werden.
Das Management muss entscheiden, ob die Strafverfolgungsbehörden an den Ermittlungen beteiligt sind, Beweise für die Strafverfolgung sammeln oder lediglich die Lücke schließen.
enthalten
Vorfälle eindämmen und ihre Auswirkungen reduzieren;
Eindämmungsmaßnahmen sollten auf der Art des Angriffs, den von dem Vorfall betroffenen Vermögenswerten und der Kritikalität dieser Vermögenswerte basieren.
Geeignete Eindämmungsmaßnahmen verschaffen dem Vorfallreaktionsteam Zeit, die Grundursache des Vorfalls ordnungsgemäß zu untersuchen und zu ermitteln.
Es müssen entsprechende Aufzeichnungen geführt und der Umgang mit potenziellen Beweisquellen gewahrt bleiben;
Analyse und Tracking
Sammeln Sie während der Analysephase weitere Daten (Protokolle, Videos, Systemaktivitäten usw.), um zu versuchen, die Grundursache des Vorfalls zu verstehen und festzustellen, ob die Quelle des Vorfalls intern oder extern war und wie der Eindringling eingedrungen ist;
Sicherheitsexperten benötigen eine Kombination aus formaler Ausbildung und praktischer Erfahrung, um angemessene Erklärungen abzugeben, oft ohne ausreichend Zeit;
Die Nachverfolgung geht häufig mit Analyse und Inspektion einher und erfordert das Aussortieren von Quellen für falsche Hinweise oder vorsätzliche Täuschung;
Wichtig ist auch, was getan werden muss, sobald die Grundursache identifiziert und auf die wahre Ursache zurückgeführt wird.
Zielsetzung
Erhalten Sie ausreichende Informationen, um den aktuellen Vorfall zu stoppen
verhindern, dass zukünftige „Gefällt mir“-Vorfälle auftreten
Identifizieren Sie, was oder wer dafür verantwortlich ist
Erholungsphase
Der Zweck besteht darin, das Unternehmen wieder zum Laufen zu bringen, betroffene Systeme wieder in den Produktionsbetrieb zu versetzen und mit anderen Aktivitäten konsistent zu bleiben.
Führen Sie die notwendigen Reparaturen durch, um sicherzustellen, dass so etwas nicht noch einmal passiert.
Zu den Abhilfemaßnahmen gehören: Blockieren sensibler Ports, Deaktivieren anfälliger Dienste oder Funktionen, Anwenden von Patches usw.
Berichte und Aufzeichnungen
Die wichtigste und am häufigsten übersehene Phase ist die Berichts- und Feedbackphase.
Organisationen lernen oft viel aus Ereignissen und führen aus Fehlern zum Erfolg;
Die Nachbesprechung erfordert alle Teammitglieder, einschließlich der Vertreter aller vom Vorfall betroffenen Teams.
Der Vorteil besteht darin, dass in dieser Phase die Leistung des Reaktionsteams durch das Sammeln aussagekräftiger Daten entwickelt oder verfolgt werden kann.
Mithilfe von Kennzahlen können Sie die Budgetzuweisung, den Personalbedarf und die Ausgangswerte ermitteln sowie Umsicht und Angemessenheit demonstrieren.
Die Schwierigkeit besteht darin, statistische Analysen und Kennzahlen zu erstellen, die für das Unternehmen von Bedeutung sind.
Beweiserhebung und -verarbeitung
Beweise für die Beweiskette
Darin heißt es, dass Beweismittel klare Aufzeichnungen (Dokument) und Verantwortlichkeiten (Rechenschaftspflicht) von der ersten Sammlung und Kennzeichnung über den Transport, die Verwendung, die Zwischenverwahrung bis hin zur endgültigen Lagerung und Archivierung haben müssen, um sicherzustellen, dass das Original-Beweismedium absolut vorhanden ist keine Chance auf Kontamination (Contaminate) und Manipulation (Tamper);
Während des gesamten Lebenszyklus von Beweismitteln dreht sich alles um das Wer, Was, Wann, Wo und Wie des Umgangs mit Beweismitteln.
Stellen Sie die Authentizität und Integrität von Beweisen mithilfe von Hash (SHA-256) und digitalen Signaturen sicher.
Interview
Der heikelste Teil der Ermittlungen ist die Befragung von Zeugen und Verdächtigen;
Den Vorstellungsgesprächen muss eine Überprüfung der Strategie, eine Benachrichtigung des Managements und die Kontaktaufnahme mit dem Rechtsberater des Unternehmens vorausgehen.
Seien Sie während des Interviews nicht allein. Zeichnen Sie möglichst das gesamte Interview als Beweismittel auf.
Verstehen Sie den forensischen Prozess
vor Gericht zulässige Beweise
Beweisklassifizierung
Klassifizierung von Präsentationsmethoden
geschrieben
Oral
Aussagen von Zeugen
computergeneriert
visuell oder akustisch
Ereignisse, die während oder unmittelbar nach einer Straftat erfasst wurden
Nach Einfluss klassifiziert
bester Beweis
Originalvertrag
Hilfsbeweise
Mündliche Zeugenaussage, Kopien von Originaldokumenten
direkter Beweis
Zeugenaussage
Beweise, die auf der Grundlage der fünf Sinne des Zeugen gesammelt wurden
entscheidender Beweis
Indizien
Bestätigen Sie Zwischenfakten, anhand derer auf die Existenz einer anderen Tatsache geschlossen oder diese bestimmt werden kann
schlüssiger Beweis
Unterstützende Beweise, die dazu dienen, eine Idee oder Meinung darzulegen
Meinungsbeweis
Von Sachverständigen dargelegte Bildungsperspektiven
Normale Zeugen können nur Tatsachen aussagen
Beweise vom Hörensagen
Vor Gericht vorgelegte mündliche oder schriftliche Beweise, die aus zweiter Hand stammen
Beweismerkmale
Authentizität oder Relevanz
Muss eine bescheidene und realistische Beziehung zu den Ergebnissen haben
Integrität
Beweise müssen die ganze Wahrheit offenbaren
Angemessenheit oder Glaubwürdigkeit
Es muss genügend Überzeugungskraft vorhanden sein, um eine vernünftige Person von der Echtheit der Untersuchung zu überzeugen, und die Beweise müssen überzeugend sein und dürfen nicht leicht angezweifelt werden.
Zuverlässigkeit oder Genauigkeit
Muss den Tatsachen entsprechen. Die Beweise sind nicht zuverlässig, wenn sie auf der Meinung einer Person oder einer Kopie eines Originaldokuments basieren
Computerprotokolle
Voraussetzung ist, dass sie im Rahmen des Standardisierungsprozesses des Unternehmens erfasst werden müssen, mit Ausnahme von Geschäftsunterlagen
Die meisten computerbezogenen Dokumente sollten nicht als Hörensagen, also als Sekundärbeweis betrachtet werden
Grundsätze der Beweiserhebung
Durch die als Ergebnis der Untersuchung ergriffenen Maßnahmen dürfen die Daten auf dem Speichermedium oder dem digitalen Gerät nicht verändert werden.
Personen, die auf Daten zugreifen, müssen dazu qualifiziert und in der Lage sein, ihr Handeln zu erklären
Prüfprotokolle oder andere Aufzeichnungen, die für Prüfungen durch Dritte geeignet sind und auf den Prozess angewendet werden, sollten erstellt und geschützt werden, und jeder Schritt der Untersuchung sollte genau dokumentiert werden
Die für die Untersuchung Verantwortlichen müssen in vollem Umfang dafür verantwortlich sein, die oben genannte Ordnung und die Einhaltung staatlicher Gesetze sicherzustellen
Was das Verhalten von Personen betrifft, die Daten abgreifen, dürfen sie die Beweise nicht ändern.
Wenn das erforderliche Personal Zugriff auf Originalbeweise hat, muss dieses juristisch qualifiziert sein
Vorgänge im Zusammenhang mit der Erfassung, dem Zugriff, der Speicherung oder der Übermittlung digitaler Beweise müssen sorgfältig aufgezeichnet, aufbewahrt und für Prüfungen verfügbar gemacht werden
Wenn sich jemand im Besitz digitaler Beweise befindet, muss diese Person die volle Verantwortung für die in Bezug auf die Beweise ergriffenen Maßnahmen tragen
Allgemeine Richtlinien für australische Computerforensik
Die Verarbeitung oder Beschädigung von Rohdaten wird auf ein Minimum beschränkt
Dokumentieren Sie alle Maßnahmen und erläutern Sie Änderungen
Befolgen Sie die 5 Beweisprinzipien (akzeptabel, zuverlässig, vollständig, genau und überzeugend).
Suchen Sie Hilfe bei erfahreneren Personen, wenn die Verarbeitung und/oder Zuordnung von Beweismitteln Ihre eigenen Kenntnisse, Fähigkeiten und Fertigkeiten übersteigt
Befolgen Sie die Sicherheitsrichtlinien der Organisationsstruktur und holen Sie eine schriftliche Genehmigung des Managements ein, um forensische Untersuchungen zu leiten
Erfassen Sie so schnell und genau wie möglich ein Bild Ihres Systems
Bereiten Sie sich darauf vor, vor Gericht auszusagen
Priorisieren Sie Ihre Maßnahmen von flüchtigen Beweisen zu dauerhaften Beweisen
Führen Sie keine Programme auf dem System aus, die zu Beweiszwecken dienen könnten
Seien Sie bei der Durchführung forensischer Untersuchungen ethisch und aufrichtig und versuchen Sie nicht, etwas zu untergraben
Methode der Beweisanalyse
Medienanalyse: Wiederherstellung von Informationen oder Beweisen aus Informationsmedien;
Netzwerkanalyse: Analyse und Untersuchung von Webprotokollen und Netzwerkaktivitäten, die als potenzielle Beweise dienen;
Softwareanalyse: Analysieren und Überprüfen von Programmcode (einschließlich Quellcode, kompiliertem Code und Maschinencode), Verwendung von Decodierungs- und Reverse-Engineering-Techniken, einschließlich Autorenidentifizierung und Inhaltsanalyse usw.;
Hardware-/eingebettete Geräteanalyse: sollte die Analyse mobiler Geräte umfassen;
Anforderungen an den Umfragetyp
brauchen
ein Ausdruck gewünschten Verhaltens.
befasst sich mit Objekten oder Entitäten,
die Zustände, in denen sie sein können,
die Funktionen, die ausgeführt werden, um Zustände oder Objekteigenschaften zu ändern.
Computerkriminalität
Rechtswidriges Verhalten, das durch einen Computer erleichtert und unterstützt wird, unabhängig davon, ob der Computer das Ziel einer Straftat, ein Werkzeug für eine Straftat oder die Speicherung von Beweismitteln im Zusammenhang mit einer Straftat ist.
erster Beantworter
kritische Bedeutung
Drei Elemente der strafrechtlichen Ermittlungen
Informationsakkumulation Informationsakkumulation: ist das grundlegende Element der Untersuchung
Instrumentierungstools: Tools, die bei der Untersuchung von Finanzkriminalität mit Beteiligung von Computersystemen verwendet werden, drehen sich in erster Linie um die Verfolgung und Analyse von Protokollen und Aufzeichnungen, um Diskrepanzen oder Unregelmäßigkeiten in normalen Mustern zu identifizieren;
Befragung: Bietet Ermittlern indirekte Werkzeuge wie Einblicke in Motive und mögliche eingesetzte Techniken, insbesondere wenn der Angreifer ein Insider ist;
Laufende und Exportüberwachung
Ausgangsüberwachung Ausgangsüberwachung
Unter Egress-Filterung versteht man die Überwachung und potenzielle Einschränkung des Informationsflusses von einer Seite eines Netzwerks zur anderen;
Der Informationsfluss von privaten Netzwerken ins Internet sollte überwacht und kontrolliert werden;
Der Netzwerkverkehr sollte streng kontrolliert, überwacht und geprüft werden.
Beeinflussen und verwalten Sie den Netzwerkverkehr und die Bandbreite mithilfe physischer und logischer Zugriffskontrollmechanismen.
Immer wenn eine neue Anwendung externen Netzwerkzugriff erfordert, können Richtlinienänderungen und Verwaltungsmechanismen erforderlich sein;
Das Grenzgerät prüft Datenpakete, die das Intranet verlassen, und verifiziert, dass die Quell-IP-Adresse aller ausgehenden Pakete zum zugewiesenen internen Adressblock gehört, wodurch Spoofing-Angriffe auf vom Intranet empfangene IP-Adressen verhindert werden.
Kontinuierliche Überwachungssysteme sind darauf ausgelegt, die Anforderungen der Organisation zu erfüllen.
Implementieren Sie fortlaufende Überwachungssysteme und schützen Sie kritische Behördeneinrichtungen.
Für Einzelheiten beachten Sie bitte den Abschnitt „Erfassung von Sicherheitsdaten“ in „Kapitel 6 Sicherheitsbewertung und -tests“.
Mehrere Computerverbrechen
Salami-Attacke
Anbieter begehen mehrere kleine Straftaten in der Hoffnung, dass sie durch die Zusammenführung zu einer größeren Straftat nicht auffallen
Datenbetrug
Änderungen an bestehenden Daten
Passwort-Sniffing
Erfassen Sie Passwörter, die zwischen Computern gesendet werden
IP-Spoofing
Der Angreifer möchte nicht, dass andere seine tatsächliche Adresse erfahren, daher ändert er die IP-Adresse des Pakets so, dass es auf eine andere Adresse verweist.
Spam-Suche
Durchsuchen Sie die Mülleimer anderer Personen nach weggeworfenen Dokumenten, Informationen und anderen wertvollen Gegenständen, die gegen diese Person oder Firma verwendet werden könnten.
lauschen
Bei einem passiven Angriff können die Tools zum Abhören der Kommunikation drahtlose Telefonscanner, Funkempfänger, Mikrofonempfänger, Diktiergeräte, Netzwerkschnüffler usw. sein.
Besetzung von Domainnamen
Dies liegt vor, wenn jemand einen Domainnamen mit dem Ziel erwirbt, mit einem ähnlichen Domainnamen einem Unternehmen Schaden zuzufügen oder Geld zu erpressen.
Ressourcenschutz
Schützen Sie die wertvollen Vermögenswerte Ihres Unternehmens, nicht alle
materielle und immaterielle Vermögenswerte
Sachanlagen sind physisch und fallen in die Kategorie der traditionellen Immobilien.
Immaterielle Vermögenswerte sind nicht physisch und fallen unter die Kategorien geistiges Eigentum (Patentzertifikate, Franchiserechte).
Anlagenschutz
Eine Anlage benötigt geeignete Systeme und Kontrollen, um ihre Betriebsumgebung aufrechtzuerhalten
Feuererkennungs- und -unterdrückungssysteme
Heizungs-, Lüftungs- und Klimaanlagen
Wasser- und Abwassersysteme sind ein integraler Bestandteil jeder Anlage
Stromversorgungs- und Verteilungssystem
Stabile Kommunikation
Zutrittskontroll- und Einbruchmeldesystem für Anlagen
Hardware
Hardware erfordert geeignete physische Sicherheitsmaßnahmen, um die erforderliche Vertraulichkeit, Integrität und Verfügbarkeit aufrechtzuerhalten
Der Zugang sollte auf Bedienterminals und am Arbeitsplatz beschränkt sein
Der Zugang zu Einrichtungen sollte eingeschränkt werden
Mobile Vermögenswerte sollten geschützt werden
Druckmöglichkeiten sollten sich im Anhang für autorisierte Benutzer befinden
Netzwerkgeräte sind zentrale Vermögenswerte und müssen geschützt werden
Medienmanagement
Typ
Softcopy-Medien
magnetischer, optischer und fester Zustand
Flash-Laufwerke und Speicherkarten.
gedruckte Medien
Papier und Mikrofiche.
Medienschutz
Medien, die sensible oder vertrauliche Informationen enthalten, sollten verschlüsselt werden
Daten sollten durch den Einsatz von Verschlüsselung geschützt werden, um eine Gefährdung abzumildern.
besondere Medienarten
Produktsoftware
Originalkopien und installierte Versionen von System und Anwendung
gesteuert durch einen Software-Bibliothekar.
Wechselmedien
Frage
Organisationen wissen nicht, wann Informationen verschwinden
Die Organisation weiß nicht, ob die Informationen kompromittiert wurden
Nutzer melden grundsätzlich keine Verstöße.
Lösungsvorschläge
Organisieren und implementieren Sie DLP
a Überwachung und Einschränkung von USB- und anderen externen Ports
a Überwachung von DVD-, Blu-ray- und anderen beschreibbaren Laufwerken
Sichere Lösung zur Verwaltung von Wechselmedien
Erzwingen Sie die Verschlüsselung, um eine starke Authentifizierung zu verwenden
Überwachen und protokollieren Sie die auf Medien übertragenen Informationen
Möglichkeiten zur Bestandsführung
Fernlöschfunktion
Die Möglichkeit, geografische Standorte anzusprechen
Archivierung und Offline-Speicherung
Backups und Archive sind zwei verschiedene Arten von Methoden zum Speichern von Informationen
Sicherung
Regelmäßig und zur Wiederherstellung von Informationen oder Systemen im Katastrophenfall verwendet
Enthält Informationen, die Benutzer täglich verarbeiten
Archiv.
Informationen, die historischen Zwecken dienen und nicht weiter genutzt werden, sollten aufbewahrt und aus dem System entfernt werden
Wiederherstellung aus Backups
verfügen über klar definierte und dokumentierte Verfahren, um sicherzustellen, dass die Wiederherstellungen in der richtigen Reihenfolge durchgeführt werden.
Alle Sicherungs- und Archivierungsmedien werden regelmäßig getestet
Cloud-Speicher und virtueller Speicher
Cloud-Speicher
Digitale Daten werden in logischen Pools gespeichert
Der Zugriff kann über einen am gleichen Standort befindlichen Cloud-Computing-Dienst, eine Webdienst-Anwendungsprogrammierschnittstelle (API) oder durch Anwendungen erfolgen, die die API nutzen.
Cloud-Speicherdienste
■ Besteht aus vielen verteilten Ressourcen, fungiert aber dennoch als eine Einheit.
■ Hohe Fehlertoleranz durch Redundanz und Verteilung der Daten.
■ Hohe Haltbarkeit durch Erstellung versionierter Kopien.
mehrere Bedenken
Wenn Daten verteilt werden, werden sie an mehr Orten gespeichert, was das Risiko eines unbefugten physischen Zugriffs auf die Daten erhöht.
Die Zahl der Personen mit Zugriff auf die Daten, die kompromittiert (d. h. bestochen oder genötigt) werden könnten, steigt dramatisch an.
Es erhöht die Anzahl der Netzwerke, über die die Daten übertragen werden
Wenn Sie Speicher und Netzwerke mit vielen anderen Benutzern/Kunden teilen, ist es möglich, dass andere Kunden auf Ihre Daten zugreifen, manchmal aufgrund von Fehlhandlungen, fehlerhafter Ausrüstung, einem Fehler oder aufgrund krimineller Absichten.
Virtueller Speicher
Definition
Bezieht sich auf mehrere unabhängige physische Speicherkörper unterschiedlichen Typs. Durch Software- und Hardwaretechnologie wird die Integration in eine logische virtuelle Speichereinheit umgewandelt. Zentralisierte Verwaltung für einheitliche Nutzung durch Benutzer.
Nutzen
dass handelsübliche Hardware oder weniger teurer Speicher verwendet werden können, um Funktionen der Enterprise-Klasse bereitzustellen.
primäre Arten der Virtualisierung
Blockieren Sie die Virtualisierung
Abstraktion (Trennung) des logischen Speichers
Dateivirtualisierung
Typen
Hostbasiert
Speichergerätebasiert
Ein primärer Speichercontroller stellt die Virtualisierungsdienste bereit und ermöglicht den direkten Anschluss anderer Speichercontroller.
Der primäre Controller stellt die Pooling- und Metadatenverwaltungsdienste bereit
Netzwerkbasiert
am häufigsten verfügbare und implementierte Form
Aufzeichnungen in Papierform
Records- und Informationsmanagementprogramm (RIM)
Stellen Sie sicher, dass der Organisation im Katastrophenfall Informationen zur Verfügung stehen
Schützen Sie gedruckte Aufzeichnungen
Risiko
Durch Brände, Überschwemmungen und Wirbelstürme kann es zum Verlust oder zur Beschädigung von Papierunterlagen kommen
Entsorgungsempfehlungen
Strategien zum Schutz wichtiger Papiere
Zu den Dokumenten gehört die Aufbewahrung in sicheren, sauberen und umweltbeständigen Behältern.
Erstellen von Sicherungskopien und Speichern der Sicherungen in sicheren, externen Bereichen mit stabilisierter Temperatur und Luftfeuchtigkeit;
Anfertigung von Mikrofiche-Kopien
Entsorgung und Wiederverwendung
Restdaten sollten sorgfältig gelöscht werden
Einfaches Löschen oder Formatieren
Entfernen Sie einfach die Verweise auf die Informationen.
Tools zum Entfernen von Software
Überschreiben Sie jeden Teil des Magnetmediums nach einem zufälligen oder vorgegebenen Muster
Mangel
Ein einmaliges Überschreiben lässt sich leicht wiederherstellen. Sensible Informationen sollten mehrmals überschrieben werden.
Mit Laborwerkzeugen leicht wiederherstellbar
Remanenz
Ein Maß für das verbleibende Magnetfeld in einem Medium, das die physische Manifestation dessen, was von der Information übrig bleibt, irgendwie löscht
nicht sicher
Entmagnetisierung
Verwendung elektromagnetischer Felder zur Beseitigung des Magnetismus
Das heißt, das Magnetfeld auf dem Medium auf Null zu reduzieren.
Ein sichererer Ansatz
physische Zerstörung
Zerkleinern, Brennen und Mahlen sind gängige Methoden
Am sichersten, aber achten Sie auf die Granularität
Ressourcenschutztechnologie
Unbefugte OffenlegungUnbefugte Offenlegung
ist eine Bedrohung, die Anlass zur Sorge gibt
Die böswilligen Aktivitäten von Malware sowie böswilligen Benutzern können zum Verlust wichtiger Informationen führen
Vandalismus, Störung und Diebstahl
Böswillige Aktivitäten von Malware und böswilligen Benutzern können zum Verlust einer erheblichen Menge an Informationen führen.
Auch Betriebsunterbrechungen können den normalen Geschäftsbetrieb stark beeinträchtigen
Auch Diebstahl ist eine häufige Bedrohung.
korrupte oder unangemessene Änderungen
Schutzmaßnahmen für Schlüsselsysteme sowie Bereitstellung geeigneter Verfahren
Architektur des Einbruchmeldesystems
Nach Schutzumfang klassifiziert
Basierend auf dem Network Intrusion Detection System (NIDS)
Passive Architektur
Installieren eines Netzwerk-Tapes, Anschließen an einen Hub,
oder Spiegeln von Ports auf einem Switch zu einem dedizierten N ID S-Port.
Bewältigen Sie einen Datendurchsatz, der der kombinierten Datenverkehrslast für alle Ports auf diesem Gerät entspricht (oder größer ist).
kann verschlüsselte Daten nicht überwachen
Mittlerweile gibt es viele Technologien, die die Sitzungsverschlüsselung unterbrechen können
Benutzerschulung und Datenschutzbedenken
Echtzeitüberwachung des Netzwerkverkehrs, bereitgestellt auf dem Debug-Port eines Taps oder Switches oder auf einem Hub
Hostbasiertes Intrusion Detection System (HIDS)
Echtzeitüberwachung der Host-Audit-Protokolle und Bereitstellung auf jedem wichtigen Host
auf die Grenzen eines Single-Host-Systems beschränkt.
Multihost-IDSs
Daten von mehreren Hosts identifizieren und darauf reagieren
Teilen Sie Richtlinieninformationen und Echtzeitangriffe
Nachteil
Sehr schädlich für das Host-Betriebssystem
Beeinträchtigung der normalen Systemverarbeitung und übermäßiger CPU- und Speicherverbrauch
Basierend auf Anwendungs-IDS
IDS zur Überwachung böswilligen Verhaltens bestimmter Anwendungen
Einstufung nach Schutzprinzip
Feature-basiertes IDS
Signaturabgleich, ähnlich wie bei Antivirensoftware
Signaturbasiertes IDS
Funktionen müssen kontinuierlich aktualisiert werden
Es werden nur bereits erkannte Angriffssignaturen erkannt, neue Angriffe können nicht entdeckt werden
Kategorie: Feature-Matching, Status-Matching
Regelbasiertes IDS
Einsatz regelbasierter Verfahren WENN/DANN in Expertensystemen
Künstliche Intelligenz zulassen
Je komplexer die Regeln, desto höher sind die Anforderungen an die Leistung von Software und Hardware.
Es können keine neuen Angriffe erkannt werden
Basierend auf Anomalie-IDS
Verhaltensbasierte Systeme, die das Erlernen „routinemäßiger“ Aktivitäten in der Umgebung erfordern
Kann neue Angriffe erkennen
Mangel
Kann fälschlicherweise Nicht-Angriffsereignisse erkennen, die durch eine vorübergehende Anomalie im System verursacht werden
Wird auch verhaltensbasiert oder heuristisch genannt
Einstufung
statistische Anomalie
Protokollausnahme
Verkehrsunregelmäßigkeit
Reaktion auf Einbruch
Wenn das IDS einen Einbruch erkennt
Begrenzen oder blockieren Sie den Systemverkehr
Lässt sich auch mit anderen Geräten integrieren, um zu reagieren
Fügen Sie beispielsweise Regeln in Router, VPN-Gateways, VLAN-Switching-Geräte usw. ein.
Frühe Versionen von IDS wurden in Firewalls integriert, um die Firewall bei der Umsetzung vorgeschlagener Regeln für zulässigen Datenverkehr zu unterstützen.
Während des Aktivierungsprozesses der Regeln kann es zu Beeinträchtigungen des normalen Geschäftsbetriebs kommen
Die Fehlalarmrate muss streng kontrolliert werden
Warnungen und Warnungen
IDS-Basiskomponenten
1. Sensor
Deployment-Erkennungsmechanismus
Identifizieren Sie Ereignisse
Generieren Sie entsprechende Benachrichtigungen
Administrator benachrichtigen
eine Regel aktivieren
2. Kontrolle und Kommunikation Befehl, Kontrolle und Kommunikation
Behandeln Sie Alarminformationen
Senden Sie E-Mails oder Textnachrichten usw.
3. Enunciator-Verlag
Relaissystem
Benachrichtigen Sie schnell lokale und Remote-Ressourcen
Bestimmen Sie, wer Informationen erhalten kann
Stellen Sie einen zeitnahen Informationsbereitstellungsmechanismus sicher
Bestimmen Sie die Art der empfangenen Warnung und die Dringlichkeit der Informationen
Post
Kurznachricht
IDS-Management
IDS ist eine der von Unternehmen weit verbreiteten Sicherheitstechnologien.
Einfache Investition
Keine oder nur geringe Wartung erforderlich
Erfordert umfangreiche Wartungsunterstützung
Effektives IDS-Management
Beauftragen Sie eine technisch versierte Person mit der Auswahl, Implementierung, Konfiguration, Ausführung und Wartung eines IDS
Aktualisieren Sie das System regelmäßig mit neuen Angriffsmerkmalen und bewerten Sie erwartete Verhaltensmerkmale
IDS-Schwachstellen erkennen und wirksam schützen
Angreifer können Angriffe starten, um IDS/IPS-Systeme zu deaktivieren
E-Mail-Schutz – Whitelist, Blacklist und Greylist
Whitelist
Eine Liste von E-Mail-Adressen oder IP-Adressen usw., die als „gute“ Absender aufgeführt sind
schwarze Liste
Eine Liste „schlechter“ Absender
Graue Liste
Ich weiß nicht, wer Sie sind und Ihre E-Mail überspringt zusätzliche Schritte, bevor ich sie akzeptiere.
Greylisting weist den sendenden E-Mail-Server an, neue E-Mails schnell erneut zu senden.
gemeinnützige Organisation
Gemeinnützige Organisationen
Verfolgen Sie die Vorgänge und Quellen von Internet-Spam
Bieten Sie einen effektiven Spam-Schutz für das Internet in Echtzeit
DLP (Data Leak/Loss Prevention) Verhinderung von Datenlecks
Definition
Eine Reihe von Technologien, die darauf abzielen, den Verlust vertraulicher Unternehmensinformationen zu verhindern
Drei zentrale Ziele
Lokalisieren und katalogisieren Sie vertrauliche Informationen, die im gesamten Unternehmen gespeichert sind.
Überwachen und steuern Sie die Bewegung vertraulicher Informationen im gesamten Unternehmen.
Überwachen und steuern Sie die Übertragung vertraulicher Informationen aus Endbenutzersystemen.
Klassifizierung, Speicherort und Übertragungsweg organisationssensibler Informationen
Organisationen sind sich oft nicht der Art und des Speicherorts der von ihnen verarbeiteten Informationen bewusst. Beim Kauf einer DLP-Lösung müssen sie zunächst die Arten sensibler Daten und den Datenfluss zwischen Systemen und von Systemen zu Benutzern verstehen.
Klassifizierungen können Attributkategorien wie Datenschutzdaten, Finanzdaten und geistiges Eigentum umfassen;
Sobald die Daten richtig identifiziert und kategorisiert sind, hilft ein tiefergehender Analyseprozess bei der Lokalisierung von Primärdaten und kritischen Datenpfaden;
Es ist notwendig, auf den Lebenszyklus von Unternehmensdaten zu achten, und das Verständnis der Verarbeitung, Wartung, Speicherung und Entsorgung von Daten kann tiefere Datenspeicher- und Übertragungspfade aufdecken;
Vorteile der Bereitstellung von DLP
Schützen Sie kritische Geschäftsdaten und geistiges Eigentum.
Compliance stärken;
Reduzieren Sie das Risiko von Datenschutzverletzungen;
Schulung und Bewusstsein steigern
Geschäftsprozesse verbessern;
Optimieren Sie Speicherplatz und Netzwerkbandbreite.
Erkennen Sie schädliche Software/Malware
Statische Data-at-Rest-Daten
Suchen und identifizieren Sie bestimmte Dateitypen und identifizieren und notieren Sie den Ort, an dem Informationen gespeichert sind;
Sobald die Datei gefunden wurde, öffnet DLP den Inhalt der Datei und identifiziert sie.
DLP verwendet Crawler-Systeme;
Dynamische Data in Motion (Netzwerk)-Daten
DLP-Lösung
1. Überwachen Sie den Netzwerkverkehr passiv.
2. Identifizieren Sie den korrekt erfassten Datenverkehr.
3. Stellen Sie die gesammelten Daten zusammen.
4. Dateirekonstruktion im Datenstrom durchführen;
5. Führen Sie dieselbe Analyse für statische Daten durch und bestätigen Sie, dass jeder Teil des Dateiinhalts durch seine Regeln eingeschränkt ist.
Um die Datenbewegung im Unternehmensnetzwerk zu überwachen, nutzen DLP-Lösungen spezielle Netzwerkgeräte oder integrierte Technologien, um den Netzwerkverkehr selektiv zu erfassen und zu analysieren.
Die DPI-Technologie (Deep Packet Inspection) ist die Kernfunktion von DLP und kann den Inhalt der Paketnutzlast über die grundlegenden Header-Informationen hinaus lesen.
Mit der DPI-Technologie kann DLP Daten während der Übertragung erkennen und Inhalt, Quelle und Ziel bestimmen.
DLP ist in der Lage, verschlüsselte Daten zu verarbeiten (z. B. mit einem Verschlüsselungsschlüssel) oder sie vor der Erkennung zu entschlüsseln und sie nach Abschluss der Erkennung weiter zu verschlüsseln.
Verwendete Daten (Endpunkt)Verwendete Daten
Überwachen Sie Datenbewegungsaktionen, die Endbenutzer auf ihren Workstations durchführen
Verwenden Sie den Agenten, um Aufgaben abzuschließen
DLP-Funktion
Richtlinienerstellung und -verwaltungRichtlinienerstellung und -verwaltung
Verzeichnisdienstintegration
Workflow-ManagementWorkflow-Management
Sichern und Wiederherstellen. Sichern und Wiederherstellen
BerichterstattungBerichterstattung
Steganographie- und Wasserzeichentechnologie
Wasserzeichen
Steganographie ist eine Technologie zum Verbergen von Informationen, die große Mengen an Informationen in Bildern und Videodateien verbirgt.
Das Ausblenden von Informationen umfasst verdeckte Kanäle, das Ausblenden von Text auf Webseiten, das Ausblenden sichtbarer Dateien und leere Passwörter.
Dienste von Drittanbietern, Sandboxes, Anti-Malware, Honeypot-Systeme und Honeynets
Sicherheitsdienste von Drittanbietern. Dienste von Drittanbietern
Dynamische Anwendungssicherheitstests (DAST)
Wird verwendet, um Sicherheitslücken im laufenden Zustand der Anwendung zu erkennen
Die meisten offengelegten HTTP- und HTML-Probleme basieren meist auf WEB-Schwachstellen
Bei einigen handelt es sich um Nicht-Web-Protokolle und Datenfehler
Methode
Dynamische Anwendungssicherheitstests sind ein Service
Verfügen über Crawler-Funktionen zum Testen von RIA (Rich Internet Applications)
HTML5.
Verfügen Sie über Crawling-Funktionen und testen Sie Anwendungen mithilfe anderer Webprotokollschnittstellen
Statische Anwendungstestfunktionen (SAST).
Interaktive Sicherheitstests.
Umfassende Fuzz-Tests
Testen mobiler und cloudbasierter Anwendungen.
Honeypots und HoneynetsHoneypot-Systeme und Honeynets
Fungiert als Täuschungsserver, um Informationen über Angreifer oder Eindringlinge zu sammeln, die auf dem System agieren
Varianten von IDS
Konzentrieren Sie sich mehr auf das Sammeln und Täuschen von Informationen
Gängige Werkzeuge
Glastopf
ow-Interaktion,
Open-Source-Honeypot
Gespenst -
kommerziell
Ghost USB
kostenloser USB-Emulations-Honeypot
KFSensor
Windows-basiertes Honeypot-Intrusion-Detection-System (IDS).
Sandboxen
Software-Virtualisierungstechnologie
Lassen Sie Programme und Prozesse in einer isolierten Umgebung laufen
Beschränken Sie den Zugriff auf andere Systemdateien und Systeme
Was in der Sandbox passiert, passiert nur in der Sandbox
Ein Ersatz für herkömmliche signaturbasierte Antivirenprogramme
Mögliche Erkennung von Zero-Day-Schwachstellen und versteckten Angriffen
Malware nutzt verschiedene Techniken, um der Erkennung zu entgehen
Haken
Einführung einer Technologie zur Erkennung von Malware
Direkt in das Programm einfügen, um Benachrichtigungen über Funktions- oder Bibliotheksaufrufe zu erhalten (Rückruf)
Diese Technik erfordert Änderungen am Programmcode
Seien Sie sich vor Malware bewusst
Unterbrechen Sie die dynamische Codegenerierung
Hauptproblem
Die Sandbox kann beim Aufruf keine von der Schadsoftware ausgeführten Anweisungen sehen
UmweltkontrollenUmweltüberwachung
Anti-Malware Anti-Malware
Anti-Malware Testing Standards Organization (AMTSO Anti-Malware Testing Standards Organization).
Ein Forum für Malware-Tests und verwandte Produktdiskussionen
Veröffentlichen Sie objektive Standards und Best Practices für Malware-Tests
Fördern Sie Aufklärung und Sensibilisierung im Zusammenhang mit Malware-Testproblemen
Bereitstellung von Tools und Ressourcen für standardisierte Tests und Methoden
Windows
1. Testen Sie, ob mein Schutz gegen den manuellen Download von Malware (EICAR.COM) aktiviert ist.
2. Testen Sie, ob mein Schutz gegen einen Drive-by-Download (EICAR.COM) aktiviert ist.
3. Testen Sie, ob mein Schutz gegen den Download einer potenziell unerwünschten Anwendung (PUA) aktiviert ist.
4. Testen Sie, ob der Schutz vor dem Zugriff auf eine Phishing-Seite aktiviert ist.
5. Testen Sie, ob mein Cloud-Schutz aktiviert ist.
Android
Notfallwiederherstellung
Entwickeln Sie eine Wiederherstellungsstrategie
Zu berücksichtigende Wiederherstellungsstrategien
Surviving SiteSurviving Site
SelbstbedienungSelbstbedienung
Interne Vereinbarung Interne Vereinbarung
Gegenseitige Vereinbarungen/Vereinbarungen über gegenseitige Hilfe. Gegenseitige Vereinbarungen/Vereinbarungen über gegenseitige Hilfe
Dedizierte alternative Sites Dedizierte alternative Sites
Arbeiten von zu Hause aus Arbeiten von zu Hause aus
Externe Lieferanten Externe Lieferanten
Keine Vereinbarung Keine Vereinbarung
Die Wahl der Wiederherstellungsstrategie muss den Anforderungen der Organisation entsprechen
Kosten-Nutzen-Analyse (CBA)
Anfängliche Kosten für die Erstellung einer Strategie
Laufende Kosten für die Aufrechterhaltung einer Wiederherstellungsstrategielösung
Die Kosten für die regelmäßige Prüfung des Plans
Kommunikationsbezogene Ausgaben
Implementieren Sie eine Backup-Speicherstrategie
Recovery Time Objective (RTO)\Maximal tolerierbare Ausfallzeit (MTD)\Recovery Point Objective (RPO)
Sicherungsmethode
komplett vorbereitet
inkrementelles Backup
Erstellen Sie Kopien nur der Dateien, die seit der letzten vollständigen oder inkrementellen Sicherung geändert wurden
und dann das Archivbit auf „0“ setzen.
Die Wiederherstellung nimmt die meiste Zeit in Anspruch
Differenzielle Sicherung
kopiert nur die Dateien, deren Daten sich seit der letzten vollständigen Sicherung geändert haben
seit der letzten Vollsicherung und ändert den Archivbitwert nicht.
Strategie für den Wiederherstellungsstandort
Duales RechenzentrumDuales Rechenzentrum
Die Verwendung dieser Strategie führt dazu, dass Ausfallzeiten der Anwendung keine Auswirkungen auf das Unternehmen haben
Vorteil
Weniger oder keine Ausfallzeiten
Leicht zu pflegen
Keine Wiederherstellung erforderlich
Mangel
höhere Kosten
Erfordert redundante Hardware, Netzwerke und Personal
durch die Entfernung begrenzt
Heiße Seiten, heißer Krieg
Interne Hot-Site. Interne Hot-Site
Bereiten Sie einen Standby-Standort mit der gesamten Technologie und Ausrüstung vor, die zum Ausführen der Anwendung erforderlich ist
laufen nicht zeitkritisch
B. eine Entwicklungs- oder Testumgebung
Externe Hot SiteExterne Hot Site
Die Einrichtungen sind vorhanden, aber die Umgebung muss neu aufgebaut werden
Diese Dienste unterliegen Dienstleisterverträgen
Vorteil
Erlauben Sie das Testen von Wiederherstellungsstrategien
Hohe Verfügbarkeit
Die Website kann innerhalb weniger Stunden wiederhergestellt werden
Mangel
Interne Wärmestationen sind teurer als externe Wärmestationen
Es liegen Software- und Hardware-Kompatibilitätsprobleme an der externen Hot Station vor
Warme Seite Warme Seite
Eine Mieteinrichtung, die teilweise mit einigen Geräten ausgestattet ist, jedoch nicht mit echten Computern
Kalter Standort Kalter Standort
Ein Cold Site ist ein Rohbau oder ein leeres Rechenzentrum ohne technische Einrichtungen auf der Etage
Vorteil
niedrige Kosten
für längere Genesungen
Mangel
Es ist nicht möglich, sich rechtzeitig zu erholen
Keine vollständigen Testarbeiten im Vorfeld
mobile Website, mobile Website
Es handelt sich um einen mobilen Anhänger oder Standardcontainer, der mit entsprechender Telekommunikationsausrüstung und IT-Ausstattung ausgestattet ist. Es kann flexibel per Drag-and-Drop an den gewünschten alternativen Ort verschoben werden, um wichtige Anwendungsdienste wie Telefonvermittlungsfunktionen bereitzustellen.
Vorteil
Hohe Mobilität und relativ einfacher Transport
Ein modularer Ansatz zum Aufbau von Rechenzentren
Beim Bau ist keine Innenausrüstung erforderlich
Mangel
An bestimmten Standorten müssen Cold-Site-Funktionen eingerichtet werden
Die Dichte und das Design von Containern machen Upgrades und individuelle Anpassungen zu einer extremen Herausforderung
Die Aufrechterhaltung von Transportverträgen oder der Transport von Ausrüstung im Katastrophenfall ist teuer
Multiprozessor-Rechenzentrum
Diese Lösung kann verwendet werden, wenn die Organisation über Niederlassungen im ganzen Land oder auf der Welt verfügt
Sorgen Sie für ausreichende Bandbreite und Latenz
Kann als „gegenseitige Vereinbarung“ innerhalb einer Organisation betrachtet werden
Verarbeitungsvereinbarung
Gegenseitige Vereinbarungen, gegenseitige Vereinbarungen
Wird verwendet, um Ausfallrisiken zwischen Organisationen zu teilen
Im Katastrophenfall verpflichtet sich jede Organisation, die Daten- und Verarbeitungsaufgaben der anderen zu übernehmen
Frage
Die Verpflichtung der Organisation, freie Verarbeitungskapazität für andere zu reservieren oder die Verarbeitungskapazität zu reduzieren, wenn andere Organisationen ausfallen
Organisationen müssen zunächst in der Lage sein, diese Protokolle einzuhalten
Schwierigkeiten, den richtigen Partner innerhalb der Branche oder unter Wettbewerbern zu finden
Outsourcing-Outsourcing
Erfüllen Sie die Kosteneffizienzanforderungen von Unternehmen
Gehen Sie das Risiko unbekannter Fähigkeiten und der Fähigkeit ein, Anforderungen zu erfüllen
Die SAL-Vereinbarung kann vorsehen, dass Dienstleistungen für einen bestimmten Zeitraum erbracht werden, sie garantiert jedoch keinen wirklichen Versicherungsschutz im Katastrophenfall.
Vorteil
On-Demand-Dienste
Sämtliche Anforderungen und die Durchsetzungsverantwortung liegen beim Dritten
weniger Kosten
Bieten Sie eine größere geografische Auswahl
Mangel
Proaktivere Tests und Bewertungen zur Bestätigung der Kompetenzerhaltung
Streitigkeiten über die Vereinbarung hindern die Hersteller daran, sie durchzusetzen
Durch die Bereitstellung privater Systeme werden Anbieter gebunden
Wenn es häufig zu Ausfällen kommt, kann der Kapazitätsaufbau mehr kosten
Anforderungen an Systemstabilität und Fehlertoleranz
Vertrauenswürdige Pfade und ausfallsichere Mechanismen
vertrauenswürdiger Weg
Bietet eine vertrauenswürdige Schnittstelle für privilegierte Benutzerfunktionen
Bietet eine Möglichkeit, sicherzustellen, dass die Kommunikation über diesen Pfad nicht abgefangen oder beschädigt wird
Typische Gegenmaßnahmen
Ausfallsicher
Automatisches Einschalten im Fehlerfall (z. B. Stromunterbrechung)
Besorgt um Leben oder Systemsicherheit
Ausfallsichere, ausfallsichere Eigentumssicherheit
Automatische Sperre im Fehlerfall (z. B. Stromunterbrechung)
Konzentrieren Sie sich darauf, den Zugriff nach einem Fehler kontrolliert zu blockieren, wenn sich das System in einem inkonsistenten Zustand befindet
Redundanz und Fehlertoleranz
Gerätesicherung
Ersatzteile
Kalt-Standby
Ersatzteile nicht gestartet
Genau das gleiche wie das Hauptgerät
Kann bei Bedarf verwendet werden
Im Allgemeinen in der Nähe des Hauptgeräts gelagert
Kann nicht in nicht künstlichen Umgebungen verwendet werden
Warmer Standby
Bereits in das System eingespeist, aber nur bei Bedarf aktiviert
Hot-Standby
In das System injizieren und booten, bis es zum Aufwachen benötigt wird
redundantes System
Typische redundante Konfiguration
Aktiv/Standby-Paarmodus
Das Hauptsystem stellt alle Dienste bereit
Probleme mit passiven Systemen, die Primärsysteme überwachen
Cluster
Zwei oder mehr schließen sich dem Cluster an und stellen gleichzeitig Dienste bereit
Notstromversorgung
Redundante (oder doppelte) Netzteile
UPS)
Alternative Energiequellen (z. B. Dieselgeneratoren)
Laufwerke und Datenspeicher
SAN und NAS
SAN-Speichernetzwerk
Ein SAN besteht aus dediziertem Block-Level-Speicher in einem dedizierten Netzwerk.
zahlreiche Speichergeräte wie Bandbibliotheken, optische Laufwerke und Disk-Arrays
Protokolle wie iSCSI erscheinen Betriebssystemen als lokal angeschlossene Geräte
Große Festplattenbänke werden mehreren Systemen zur Verfügung gestellt, die über spezielle Controller oder über IP-Netzwerke (Internet Protocol) mit ihnen verbunden sind
NAS-Netzwerkspeicher
Dateiebene anstelle der Blockebene
Entwickelt, um Dateien einfach zu speichern und bereitzustellen
FTP-Server
gemeinsam genutzter Dateiserver
Netzlaufwerk
NAS kann auch verwendet werden, um Speicher für mehrere Systeme im Netzwerk bereitzustellen.
RAID günstiges redundantes Festplatten-Array
Eine Technologie zur Erhöhung der Redundanz und/oder Verbesserung der Leistung durch logische Kombination mehrerer physischer Festplatten zu einem logischen Array. Beim Speichern der Daten werden die Informationen an alle Treiber geschrieben
RAID 0
Schreibt Dateien in Stripes über mehrere Festplatten, ohne Paritätsinformationen zu verwenden.
schnelles Lesen und Schreiben
Auf alle Festplatten kann parallel zugegriffen werden.
bietet keine Redundanz
Verwenden Sie RAID 0, um temporäre Daten zu speichern
RAID 1
Auf dieser Ebene werden alle Festplattenschreibvorgänge von einer Festplatte auf eine andere dupliziert, um zwei identische Laufwerke zu erstellen.
Datenspiegelung.
Redundanz
teuer
RAID 2
Dieses R A ID-Niveau ist mehr oder weniger theoretisch und wird in der Praxis nicht verwendet.
Hamming-Fehlerkorrekturcode
RAID 3 und 4 -
Für die Implementierung dieser Ebenen sind drei oder mehr Laufwerke erforderlich.
Erhalten Sie Striping von Daten
Paritätslaufwerk
Paritätsinformationen
auf eine dedizierte Festplatte geschrieben
Die Daten sind gestreift
über mehrere Festplatten hinweg auf Byte-Ebene für RAID 3 und auf Blockebene für RAID 4.
fatale Schwäche
Paritätslaufwerk
RAID 5
ähnelt RAID 4
Die Paritätsinformationen werden auf allen Laufwerken zusammengefasst
Wird am häufigsten für die allgemeine Datenspeicherung verwendet.
RAID 6
erweitert die Fähigkeiten von R A ID 5
Berechnen von zwei Sätzen von Paritätsinformationen.
Die Leistung dieser Stufe ist etwas geringer
RAID 0 1 und RAID 1 0 -
Kombination zweier unterschiedlicher RA-ID-Typen
Redundant Array of Independent Tapes (RAIT).
Datenbank-Shadowing
Wird für Datenbankverwaltungssysteme verwendet, um Datensätze an mehreren Stellen zu aktualisieren
Vollständige Datenbankkopie für die Remote-Nutzung
System sichern und wiederherstellen
Zu den Sicherungsdaten gehören wichtige Systemdateien und Benutzerdaten
Backup-Fenster
groß genug
komplett vorbereitet
nicht groß genug
Differenzielle oder inkrementelle Sicherung
Beim Backup werden Daten von Produktionssystemen auf Remote-Medien kopiert
Zum Beispiel den Transport oder die Lagerung von High-Density-Bändern an verschiedene Orte
Mindestens drei Sicherungsbänder
Originalseite
Stellen Sie ein einzelnes ausgefallenes System wieder her
in der Nähe des Standorts
Am primären Standort kam es zu einem allgemeinen Ausfall und die Bänder waren beschädigt
Remote-Standort
Offsite-Site
Ein sicherer Ort in einiger Entfernung vom Hauptstandort
elektronische Übermittlung
Sichern Sie Daten über das Netzwerk
Implementieren Sie die Spiegelung
Änderungen am Hauptsystem werden in Echtzeit an den Bibliotheksserver übermittelt
Repository-Server
Konfiguriert wie ein Speichergerät
Im Gegensatz zu Echtzeitaktualisierungen werden Dateiänderungen mithilfe inkrementeller und differenzieller Sicherungen an das Repository übermittelt
Protokoll oder Transaktionsaufzeichnung
Datenbankverwaltungssysteme verwenden Techniken, die Transaktionsredundanz bieten
Personalflexibilität
Vermeiden Sie Single Points of Failure für Schlüsselpersonal
Ausreichende Personalausstattung
Richtige Ausbildung und Ausbildung
Rotationstraining
Disaster-Recovery-Prozess
DR-Gebiete
DR umfasst Reaktion, Menschen, Kommunikation, Beurteilung, Wiederherstellung und Schulung
Der Vorgang muss protokolliert werden.
Kontinuierliche Teststrategie auf Organisationsebene
Vorstand und Geschäftsleitung
Teststrategie und -plan
Beinhaltet die Verwendung von BIA und Risikobewertung
Identifizieren Sie Schlüsselrollen und Verantwortlichkeiten und legen Sie Mindestanforderungen für die Geschäftskontinuitätstests der Organisation fest, einschließlich grundlegender Anforderungen für die Testhäufigkeit, den Testumfang und die Ergebnisberichterstattung
Die Teststrategien variieren je nach Umfang und Risikoszenario der Organisation
Beheben Sie Testprobleme für die Organisation und ihre Dienstleister
Die Teststrategie für interne Systeme sollte die beteiligten Personen einbeziehen, wenn Systeme und Datendateien getestet werden
Dokumentation von Plänen
Dokumentenwiederherstellung als Reaktion auf verschiedene Vorfälle
Die Dokumentation sollte in allen Wiederherstellungseinrichtungen aufbewahrt werden
Das Dokument sollte so detailliert sein, dass es für den technischen Wiederherstellungsvorgang ausreichend detailliert ist, sodass Personen mit entsprechenden Fähigkeiten es dennoch beim ersten Mal ausfüllen können.
Testen Sie den Wiederherstellungsplan jedes Mal und aktualisieren Sie ihn bei Bedarf
Antwort
Benachrichtigen Sie das zentrale Kommunikationsteam über Vorfälle, nachdem sie aufgetreten sind
zentralisierte Nummer
Beratungsstelle
Technisches Betriebszentrum
physisches Sicherheitspersonal
Überwachungspersonal
Reaktionsplan
Erstellen Sie eine Notfallkontaktliste
Bewertungsteam
Zuerst benachrichtigen
Stellen Sie fest, ob der Vorfall eine Eskalation erfordert
Erstes Upgrade-Team
Veranstaltungsinhaber
Notfallhelfer
Kommunikationskanäle einrichten
Telefonkonferenz
Etablieren Sie alternative Kommunikationskanäle intern und extern
Vergessen Sie nicht, dass einige Dienste nicht verfügbar sind
Expresszustellung
Wasser- und Stromdienstleistungen
Exekutiv-Notfallmanagementteam
Besteht aus leitenden Führungskräften der Organisation
Der erste Antwortteil muss nicht durchgeführt werden
Übernehmen Sie die volle Verantwortung für die Wiederherstellung der Organisation und des Geschäfts
Befindet sich nach dem Vorfall in der Kommandozentrale
Sie müssen sich nicht um den täglichen Betrieb und die Wartung kümmern
Führungskräfte müssen reagieren und bei der Lösung von Problemen behilflich sein, die ihrer Anleitung bedürfen
Konzentrieren Sie sich auf strategische Antworten
Krisenmanagement vs. Krisenführung
Verwaltung
Antwort
kurzfristig
Verfahren
eng
taktische Ebene
Führend
erwarten
lang
grundsätzlich
große Aufmerksamkeit
strategische Ebene
Notfallmanagement-Team
Melden Sie sich direkt bei der Kommandozentrale
Verantwortlich für die Überwachung des Disaster-Recovery-Teams und die Entwicklung von Wiederherstellungs- und Wiederherstellungsprozessen
Melden Sie den Status des Vorfalls der Geschäftsleitung
Treffen Sie Entscheidungen, die die Genesung unterstützen
Hauptfunktion
Notfallwiederherstellungsteam
Rufen Sie extern gespeicherte Aufzeichnungen und Wiederherstellungsinformationen ab
Bericht an Offsite-Site
Führen Sie die Wiederherstellungsverfahren in der Reihenfolge ihrer Priorität durch
Teilen Sie der Kommandozentrale bei Bedarf den Wiederherstellungsstatus mit
Identifizieren Sie Probleme und melden Sie sie dem Managementteam zur Lösung
Richten Sie ein Wiederherstellungsteam ein, um 24/7-Schichten zu unterstützen
Stellen Sie Verbindungen zu wichtigen Geschäftsanwendern und Mitarbeitern her
Reparieren und ersetzen Sie Geräte und notwendige Software, um den normalen Betrieb wieder aufzunehmen
Kommandozentrale
Zentrum für Kommunikation und Entscheidungsfindung in Notfällen
Stellen Sie im Katastrophenfall eine Notfalldokumentation und andere Ressourcen zur Verfügung, die zur Reaktion auf die Katastrophe erforderlich sind
Enthält auch Verfahren zur Behandlung finanzieller Probleme
Erster Reaktionsplan
Organisationen mit mehreren Standorten benötigen einen Plan für jeden Unternehmensstandort
Was sind die wichtigsten Unternehmen oder Technologien auf der Website?
Bereiten Sie dafür eine geeignete Wiederherstellungsstrategie vor
Wer ist der Entscheidungsträger?
Wohin sollen sich Menschen wenden, wenn sie nicht in das Gebäude zurückkommen können?
Der Prozess der Ausrufung einer Katastrophe
Speicherort der Backup-Site
Reiseoptionen zu Backup-Standorten
Workstation-Zuweisung am Backup-Standort
Hotels in der Nähe von Backup-Standorten\Transportdienstleistungen und Logistik
Personal
Das Problem bei vielen Plänen sind Personalfragen
Katastrophen können Menschen stark treffen
Im Katastrophenfall müssen Organisationen neben der Reaktion auf ihre eigenen Bedürfnisse auch auf die Nöte der Teamfamilien achten.
Die Höhe der Mitglieder des Unterstützungsteams wird durch die Art der Katastrophe selbst klar definiert
Integrieren Sie administrative Unterstützung in das Wiederherstellungsteam
kommunizieren
Mitarbeiter benachrichtigen
In Notfällen werden die Mitglieder der Notfallkontaktliste direkt vom zuständigen Managementteam kontaktiert
Beschreiben Sie, wie die Organisation die verbleibenden Mitglieder kontaktieren wird
Richten Sie eine Notrufnummer ein
Halten Sie Ihre Mitarbeiter über eingetretene Katastrophen auf dem Laufenden
Bringen Sie es hinter dem Ausweis des Mitarbeiters oder auf einem Kühlschrankmagneten an
Stakeholder
Mitarbeiter und ihre Familien
Auftragnehmer und Geschäftspartner
Q Facility- und Site-Manager
Q Personalleiter (HR, IT, etc.)
Q Senior Manager; Vorstand
Institutionelle Anleger und Aktionäre
Versicherungsvertreter
Lieferanten und Händler
Kunden
Regierungsbehörden und Politiker
Konkurrenten
Gewerkschaften
Gemeinschaften
Branchenaktivistengruppen
Internetnutzer oder Blogger
Medienvertreter
wie sagt man
Während des Disaster-Recovery-Prozesses sollte jeder Mitarbeiter dem Kunden oder Lieferanten konsistent über die Situation berichten
Unternehmen sollten allen Beteiligten aktuelle Informationen zum Wiederherstellungsstatus zur Verfügung stellen
ehrlich
genau
Sicherheitsexperten müssen Problemmelde- und Managementprozesse einrichten
Konferenzbrücken
Auswerten
Bei einem Vorfall müssen die Auswirkungen des Vorfalls ermittelt werden
Ebenen oder Kategorien
Kein Vorfall, kein Vorfall
Vorfall
Dem Management Bericht erstatten
Schwerer Vorfall Schwerer Vorfall
Lagebericht erforderlich
genesen
Im letzten Teil des Plans geht es um die Wiederherstellung der Hauptumgebung und die Migration zum Normalbetrieb
Der Rest der Organisation ist mit der Wiederherstellung der Organisation am Ausweichstandort beschäftigt
Ein Teil des Fokus liegt auf dem, was getan werden muss, um zur Hauptproduktionsumgebung der Anlage zurückzukehren
Sie müssen sich an Ihre Rechtsabteilung und Ihr Versicherungsunternehmen wenden, bevor Sie Ihren primären Standort wiederherstellen.
Machen Sie Fotos, bevor Sie Maßnahmen ergreifen
Der Migrationsplan muss den Prozess und Einzelheiten zur Migration dokumentieren
Vermögensersatz
Verhandeln Sie mit Anbietern über die Bereitstellung von Ausrüstung für den Bau oder die Wiederherstellung von Rechenzentren
Training anbieten
Egal wie gut ein Plan ist, er wird nicht funktionieren, wenn niemand davon weiß
ein Team führen
Krisenmanagement kennen
Bei der Notfallwiederherstellung geht es nicht darum, eine Wiederherstellung durchzuführen, sondern die Organisation wieder in den Normalzustand zu versetzen.
IT-Abteilung
Kennen Sie die Verfahren zur Durchführung einer Wiederherstellung
und die Logistikeinrichtungen, in die sie gehen.
Mitarbeiter
Evakuierungsplan
Integrieren Sie einen Teil des BCP-Plans in die Schulung neuer Mitarbeiter
Übungen, Beurteilungen und Wartungspläne
Teststrategie
■ Erwartungen an Geschäftsbereiche und Supportfunktionen, um das Erreichen der Geschäftskontinuitätstestziele im Einklang mit der BIA und der Risikobewertung nachzuweisen;
■ Eine Beschreibung der Tiefe und des Umfangs der durchzuführenden Tests;
■ Die Einbeziehung von Personal, Technologie und Einrichtungen;
■ Erwartungen an die Prüfung interner und externer Interdependenzen;
■ Eine Bewertung der Angemessenheit der Annahmen, die bei der Entwicklung der Teststrategie verwendet wurden.
Die Teststrategie enthält Testziele und -umfang
BCP wird mindestens einmal im Jahr getestet
Bei größeren Änderungen sind Tests erforderlich
Testziele können einfach beginnen und nach und nach an Komplexität, Teilnahmegrad, Funktion und physischem Standort zunehmen
Tests sollten den normalen Geschäftsbetrieb nicht gefährden
Tests demonstrieren verschiedene Management- und Reaktionsfähigkeiten im Rahmen simulierter Krisen und fügen nach und nach weitere Ressourcen und Teilnehmer hinzu
Decken Sie Unzulänglichkeiten auf, damit Testverfahren korrigiert werden können
Erwägen Sie, von Testskripten abzuweichen, um unerwartete Ereignisse einzufügen, beispielsweise den Verlust wichtiger Personen oder Dienste
Berücksichtigen Sie ausreichende Beträge aller Arten von Transaktionen, um die entsprechende Leistungsfähigkeit und Funktionalität der Wiederherstellungsanlage sicherzustellen
Die Teststrategie umfasst einen Testplan
Basierend auf vorgegebenen Testumfängen und -zielen
Enthält den Prozess zur Überprüfung des Testplans
Einschließlich der Entwicklung verschiedener Testszenarien und -methoden
Versuchsplan
Der Mastertestplan sollte alle Testziele enthalten
Spezifische Beschreibung der Testziele und -methoden
Alle Testteilnehmer inklusive Supportrollen
Delegation von Testteilnehmern
Testen Sie Entscheidungsträger und Folgepläne
Teststandort
Testen Sie die Upgrade-Bedingungen und testen Sie die Kontaktinformationen
Überprüfung des Testplans
Teststrategie
Testumfang und Ziele
BIA, RTO und RPO überprüfen
Teststrategie
Wird von der Geschäftsleitung festgelegt
Rollenverantwortung, Häufigkeit, Umfang und Berichtsergebnisse
Übungen zur Geschäftswiederherstellung und Notfallwiederherstellung
Geschäftserholung
Achten Sie auf den Betrieb des Testgeschäftsbereichs
Notfallwiederherstellung
Konzentrieren Sie sich auf die Prüfung der Kontinuität technischer Teile
Überprüfung der Checkliste
Verteilen Sie Kopien des BCP an die Manager jeder wichtigen Geschäftseinheit
Bitten Sie sie, Teile des Plans zu überprüfen, die für ihre Abteilung geeignet sind
Desktop-Übung/strukturierter Übungstest
Als Werkzeug zur Planung erster Tests, aber nicht die beste Testmethode
Ziel
Stellen Sie sicher, dass wichtige Mitarbeiter aus allen Bereichen mit BCP vertraut sind
Stellen Sie sicher, dass die geplante Hilfsorganisation in der Lage ist, sich nach Katastrophen zu erholen
Merkmale
Kontakt zum Besprechungsraum, geringe Kosten
Probeübung/Simulationsübung
Enthält mehr Inhalt als die Tabletop-Komplettlösung
Die Teilnehmer wählen spezifische Ereignisszenarien aus, die in BCP angewendet werden sollen
Funktionstest/Paralleltest
Einschließlich der Verlagerung von echtem Personal an andere Standorte, um die Kommunikation herzustellen und echte Wiederherstellungsverfahren gemäß den BCP-Vorschriften umzusetzen
Der Hauptzweck besteht darin, festzustellen, ob kritische Systeme an einem alternativen Verarbeitungsstandort wiederhergestellt werden können, wenn das Personal die im BCP festgelegten Verfahren anwendet.
Merkmale
Vollständige Pause/vollständiger Test
Der komplexeste Test
Simulieren Sie eine möglichst reale Szene
Kann das Geschäft nicht beeinträchtigen
Update- und Wartungsplan
Jedes Team ist verpflichtet, am Änderungskontrollprozess teilzunehmen
Die Planungsunterlagen und alle damit verbundenen Verfahren werden alle drei Monate überprüft
Formelle Prüfung des Programms mindestens einmal pro Jahr
Pläne müssen versioniert werden
Vom Projekt zum Programm
Kontinuitätsplanung ist ein fortlaufender Prozess
Alle definierten Aufgaben müssen aktuell und im Einklang mit der bestehenden Umgebung gehalten werden
Es muss ein Jahresbedarf vorliegen
Notfallmanagementorganisation (EMO) Notfallmanagementorganisation
Formeller Reaktionsprozess des Managements
Abdeckung, Support und Fachwissen vor Ort
Abgedeckte Gebiete
■ Sicherheit
■ Immobilien
■ Systeme
■Personalwesen
■ Organisationskommunikation
■ Compliance
■ Risiko- und Versicherungsmanagement '
■ Organisatorische Notfallplanung
Verantwortlichkeiten des Teams
■ Reaktion auf Vorfälle und Notfälle
■ Ermittlung des Ausmaßes der drohenden oder tatsächlichen Notfallsituation
■ Aufbau und Aufrechterhaltung der Kommunikation mit der Geschäftsleitung
■ Kommunikation mit Mitarbeitern und Kunden
■ Verwaltung von Medienkommunikation, Sicherheit, Systemen und Einrichtungen
■ Koordinierung und Integration von Business-Continuity-Planern
Die organisatorische Notfalleinsatzzentrale (EOC)
Standort angeben
Stellen Sie die notwendigen Ressourcen bereit, um die Wiederherstellung der Organisation zu verwalten, unabhängig davon, ob eine EMO eingeleitet wird
Rollen und Verantwortlichkeiten Rollen und Verantwortlichkeiten
Die organisatorische Notfallplanungsgruppe
■ Festlegung strategischer Richtungen und Pläne für alle Organisationseinheiten, um BC und ein effektives Notfallmanagement sicherzustellen.
■ Integration des Notfallplanungsprozesses über alle Organisationseinheiten hinweg, wenn die Art der Organisation dies erfordert.
■ Bereitstellung von Beratungsdiensten und Anleitung für Notfallmanager auf hoher Ebene.
■ Koordinierung und Integration der Aktivierung von Notfallorganisationen mit den Organisationseinheiten.
■ Bereitstellung regelmäßiger Managementberichte und Statusinformationen.
■ Sicherstellung der Einhaltung des Notfallplanungsprogramms durch die Geschäftsleitung.
■ Sicherstellung der Identifizierung und Aufrechterhaltung aller kritischen Organisationsfunktionen und -anforderungen.
■ Beschaffung und Verwaltung der alternativen Standorte, die zur Unterstützung der technischen oder organisatorischen Wiederherstellung des Unternehmensbetriebs genutzt werden.
■ Entwicklung, Umsetzung und Aufrechterhaltung von Richtlinien und Richtlinien, denen alle Organisationseinheiten folgen müssen.
■ Entwicklung und Pflege von Test- und Wartungsprogrammen für alle Notfallplanungsorganisationen.
■ Bereitstellung von Schulungen, Wartung und Support für genehmigte Notfallplanungstools.
Business-Continuity-Planer
■ Stellen Sie den primären Ansprechpartner für ihren Funktionsbereich zur Verfügung, um die Koordinationsreaktion während einer Organisationsunterbrechung abzuwickeln.
■ Als Ressource für Notfallplanungsbemühungen in ihrem Verantwortungsbereich fungieren.
■ Sichere Ernennung, Schulung und Unterstützung aller Notfallplanungs- und Reaktionsteams.
■ Unterstützung bei der Gestaltung und Wartung alternativer Standorte.
■ Sorgen Sie für die Aktualität aller Notfallplanungsunterlagen, einschließlich aller in Abbildung 7.8 aufgeführten Leistungen.
■Programmanforderungen
Geschäftskontinuität und andere Risikobereiche
BC hat eine sehr wichtige Beziehung zu anderen Sicherheitsdomänen
physische Zugangskontrolle
Implementierung und Betrieb der Grenzsicherung
Zweck der physischen Sicherheit
Die Kontrolle des Zugangs zu physischen Einrichtungen ist das erste Hindernis für den Schutz von Einrichtungen
Tiefenverteidigung. Tiefenverteidigung
Wenn eine Mechanismusschicht ausfällt, funktionieren andere Mechanismen
Sichern Sie das schwächste Glied. Sichern Sie das schwächste Glied
„Schutzringe“.
Abschreckung-Erkennung-Verzögerung-Antwort. Abschreckung-Erkennung-Verzögerung-Antwort
Beispiele für wichtige Gebäudekomponenten
■ Notstromaggregat, einschließlich Kraftstoffsystem, Tagestank, Feuerlöschsprinkler und Wasserversorgung. Notstromaggregat
■Kraftstofflagerung
■ Telefonverteilung und Hauptschaltanlage
■ Feuerlöschpumpen Feuerlöschpumpen
■ GebäudeleitzentralenGebäudeleitzentralen
■ Systeme zur unterbrechungsfreien Stromversorgung (USV), die kritische Funktionen steuern
■ HVAC-Systeme, wenn sie für den Gebäudebetrieb von entscheidender Bedeutung sind
■ Aufzugsmaschinen und -steuerungen. Hebemaschinen und -steuerungen
■ Schächte für Treppen, Aufzüge und Versorgungsleitungen. Treppenhäuser, Aufzüge und Versorgungsleitungen
■ Kritische Verteilereinspeisungen für Notstrom
Türen und Wände
Barrieren Barrieren
Barrieren können aus natürlichen oder künstlich hergestellten Elementen wie Bergen, Flüssen oder Grüngürteln bestehen
ist dazu bestimmt, den Zugang zu erschweren oder zu verweigern.
Zielsetzung
Zäune
Zäune sind eine Begrenzungsmarkierung, die so konzipiert und installiert ist, dass sie Eindringlinge fernhalten.
der Maschendrahtzaun
größtenteils eine psychologische Abschreckung
eine Grenzmarkierung
Tore
Es gibt Tore, um den Zugang zu erleichtern und zu kontrollieren.
Wände Wände
Mauern erfüllen denselben Zweck wie Zäune
Die Wände sollten 7 Fuß hoch sein und über 3 bis 4 Stacheldrahtstränge verfügen
Erkennung von Perimetereinbrüchen
Infrarotsensoren Infrarotsensoren
Aktive Infrarotsensoren
Übertragen Sie ein Infrarotsignal über einen Sender.
Der Empfangsort ist ein Empfänger.
Eine Unterbrechung des normalen IR-Signals weist darauf hin, dass ein Eindringling oder ein Objekt den Weg blockiert hat
Passive Infrarotsensoren
Passive Infrarotsensoren sind für die Erkennung des menschlichen Körpers konzipiert und eignen sich daher hervorragend zur Erkennung, wenn sich jemand nähert.
Passiv-Infrarot-Sensoren erfassen die von belebten Formen abgegebene Wärme
Mikrowelle Mikrowelle
zwei Konfigurationen
bistatisch und monostatisch
Ein kontrolliertes Muster von Mikrowellenenergie wird in den geschützten Bereich abgestrahlt.
Das gesendete Mikrowellensignal wird empfangen und ein „Kein Einbruch“-Grundsignal wird eingerichtet
Bistatischer Sensor
sendet ein unsichtbares volumetrisches Erkennungsfeld, das den Raum zwischen Sender und Empfänger ausfüllt.
Monostatische Mikrowellensensoren
Verwenden Sie eine einzige Sensoreinheit, die sowohl Sende- als auch Empfangsfunktionen umfasst.
Koaxiales dehnungsempfindliches Kabel. Koaxiales dehnungsempfindliches Kabel
Bei diesen Systemen wird ein Koaxialkabel verwendet, das durch das Zaungewebe gewebt ist
Das Koaxialkabel überträgt ein elektrisches Feld
Zeitbereichs-Reflektometrie-Systeme (TDR). Zeitbereichs-Reflektometrie-Systeme (TDR).
Time Domain Reflectometry (TDR)-Systeme senden induzierte Radiofrequenzsignale (RF) über ein Kabel, das am Zaungewebe befestigt ist.
Wenn Eindringlinge auf einen Zaun klettern oder ihn biegen, entsteht ein Signalpfadfehler, der in ein Alarmsignal umgewandelt werden kann
Videoinhaltsanalyse und Bewegungspfadanalyse Videoinhaltsanalyse und Bewegungspfadanalyse
ist eine ausgefeilte Software-Analyse der Kamerabilder.
CCTV-Kamerasysteme werden zunehmend als Einbruchmeldesysteme eingesetzt.
Mithilfe komplexer Algorithmen können CCTV-Systeme Eindringlinge erkennen
Erleuchtung
Für die Gesamtbeleuchtung der Anlage sowie des Perimeters kann eine Sicherheitsbeleuchtung vorgesehen werden, damit das Sicherheitspersonal auch bei Dunkelheit eine visuelle Kontrolle behält.
bieten sowohl eine reale als auch eine psychologische Abschreckung
Arten von Beleuchtungssystemen
Kontinuierliche Beleuchtung. Kontinuierliche Beleuchtung
Standby-Beleuchtung. Standby-Beleuchtung
Bewegliche Beleuchtung Bewegliche Beleuchtung
Notbeleuchtung Notbeleuchtung
0,2 Fuß-Kerzen
Arten von Lichtern
Fluoreszierende Lichter
Quecksilberdampf-Lichter. Quecksilberdampf-Lichter
Natriumdampflampen Natriumdampflampen
Quarzlampen Quarzlampen
Amerikanisches Institut der Architekten
Innenbeleuchtungsniveaus
Bereich von 5 bis 10 fc;
Anforderungen an die Außenbeleuchtung
■ Gebäudeeingänge (5 fc)
■ Gehwege (1,5 fc)
■ Parkhäuser (5 fc)
■ Site-Landschaft (0,5 fc)
■ Bereiche in unmittelbarer Umgebung des Gebäudes (1 fc)
■ Straßen (0,5 fc)
Für die Überwachung von Tätigkeiten ist eine ausreichende Beleuchtung wichtig.
Infrarot-Beleuchtungsgeräte Infrarot-Beleuchtung
Die meisten monochromen CCTV-Systeme
Speicherkarten-Typ
Magnetstreifenkarten
Auf dem PVC-Material sind sensible Begriffe wie Kreditkarten angebracht
Annäherungskarte
Integrierte Antenne, die Antennentasche ist mit einem Chip mit Identifikationscode ausgestattet, und das Lesegerät kann den Inhalt des Chips durch ein Magnetfeld lesen
Chipkarte
IC-Karten mit Mikroprozessorchips verfügen über bestimmte Datenverarbeitungsfunktionen
Weitere Sicherheitsmaßnahmen können integriert werden
Tastendruck oder biometrische Messung mit PIN-Code
CCTV-Videoüberwachung
Funktion
Überwachungsaufsicht
Bewertung
Abschreckung. Abschreckung
Eventiary ArchivesEvidentiary Archives
Kamera
Farbkameras bieten mehr Informationen,
Außenkamera
Die Installation von Außenkameras kostet mehr als Innenkameras, da die Kamera umweltgerecht untergebracht, beheizt und belüftet werden muss
Kameras mit fester Position. Kameras mit fester Position
Eine Kamera mit fester Position kann nicht gedreht oder geschwenkt werden
Schwenk-/Neige-/Zoom-Kameras (PTZ) Schwenk-/Neige-/Zoom-Kameras (PTZ).
PTZ-Kamerahalterungen ermöglichen das Drehen, Schwenken, Neigen und Zoomen der Kamera
Dome-Kameras
Internet Protocol (IP)-Kameras
Eine IP-Kamera erfasst ein Videobild digital
Die IP-Kamera befindet sich in einem lokalen Netzwerk
Objektivauswahl
Die Brennweite ist der Abstand von der Objektivoberfläche zum Fokuspunkt, gemessen in Millimetern.
Objektive haben entweder eine feste oder variable Brennweite
Beleuchtungsanforderungen
„Hell-zu-Dunkel“-Verhältnis
Auflösung
Bildauflösung
Bilder pro Sekunde (FPS)
Bilder pro Sekunde
Bilder pro Sekunde (fps).
CCTV-Kameras übertragen Videos in Einzelbildern
Kompression
MPEG-4.
Digitaler Videorecorder (DVR), digitaler Festplattenrecorder
DVRs gibt es normalerweise in einer 8-Port- oder 16-Port-Version, was bedeutet, dass 8 oder 16 Kameras gleichzeitig aufgezeichnet werden können
Überwachungsanzeige
Einzelbildanzeige Einzelbildanzeige
Geteilter Bildschirm. Geteilte Bildschirmanzeige
Matrixanzeige für großformatige Displays
Rufen Sie die Polizei
Überwachungszentrum
auch als Sicherheitskonsolenzentrum bekannt
Versandzentrum
Für die Aufrechterhaltung eines rund um die Uhr besetzten Sicherheitskontrollzentrums sind mindestens zwei Beamte pro Schicht erforderlich.
Designanforderungen
Türsteher
Physische Schutzmaßnahmen erfordern letztendlich das Eingreifen des Personals, um auf Alarme zu reagieren
Sicherheitspersonal führt böswillig Fußpatrouillen durch das Gebäude durch oder hält an einem festen Ort an
Kontrollieren Sie den Zutritt durch die Überprüfung der Mitarbeiterausweise
Starke Abschreckung, aber hohe Kosten
Eingeschränkte Personalzuverlässigkeit
Bei der Auswahl eines Sicherheitspersonals ist es wichtiger, zuverlässiges Personal zu prüfen und auszuwählen.
Proprietär
Eigene Wachen profitieren von Korpsgeist und Gemeinschaftsgefühl
Nachteile
Hybrid
Innere Sicherheit
Internes Einbruchmeldesystem
Symmetrischer Magnetschalter (BMS) Symmetrischer Magnetschalter
Bewegungsaktivierte Kameras aktivieren Kameras dynamisch
Akustische Sensoren Akustische Sensoren
Infrarot-Linearstrahlsensoren Infrarot-Linearstrahlsensoren
Passive Infrarot-Sensoren (PIR). Passive Infrarot-Sensoren
Dual-Technologie-Sensoren
Begleitung und Zugangskontrolle
Der Besucher wird innerhalb der Einrichtung jederzeit begleitet
Andere Arten von Besuchermanagementsystemen verwenden ein computergestütztes System oder ein bestimmtes Besuchersoftwareprodukt.
Gebäude und ihre innere Sicherheit
Türen
Türschlösser
Schlösser sind weit verbreitet und verfügen über gute, kostengünstige Schutzmechanismen, die Einbrüche eindämmen oder verzögern können. Die neuen Schlösser verfügen über zusätzliche Zugriffsaufzeichnungsfunktionen und berücksichtigen das Problem der Verhinderung von Schlüsselverlust und -duplizierung.
ElektroschlösserElektronische Schlösser
Electric Strikes elektronisch gesteuertes Schloss
MagnetschlösserMagnetschlösser
Anti-Passback-Anti-Tracking-Erkennungseinstellungen
Kategorie sperren
Felgenschloss-Federschloss
Einsteckschloss
Schließzylinder
Passwortsperre für Cipher Lock
Zahlenschlösser verfügen über eine Tastatur und können programmiert werden
Hi-Tech-Kevs
„Intelligente Tasten“
„Sofortschlüssel
Tresore
Werkzeugsicherer Tresor der Klasse TL-15.
Erfordern
Tresor-Repository
■ Klasse M – Eine Viertelstunde
■ Klasse 1 – Eine halbe Stunde
■ Klasse 2 – Eine Stunde
■ Klasse 3 – Zwei Stunden
Behälter
Schlüsselkontrolle
kritische Elemente
Persönliche Sicherheit
Datenschutz
Alle Menschen erwarten Privatsphäre
Reisen
DU SOLLTEST WISSEN
BEVOR DU REIST
Bereiten Sie Ihr Gerät vor:
WÄHREND DU WEG
WENN DU ZURÜCK KOMMST
Nötigung