English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Incident Response - Bắt đầu từ đâu ?  XML
  [Question]   Incident Response - Bắt đầu từ đâu ? 20/08/2006 12:34:45 (+0700) | #1 | 16415
vietwow
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Mình đang muốn tìm hiểu & nghiên cứu về Incident Response - Network Forensic. Tuy đã đọc qua 1 số article về lĩnh vực này trên securityfocus nhưng vẫn còn khá "lờ mờ" nên ko bít bắt đầu từ đâu. Nếu ai rành thì xin giới thiệu giùm 1 số tài liệu hay về lĩnh vực này giùm

Thanx :wink:
[Up] [Print Copy]
  [Question]   Incident Response - Bắt đầu từ đâu ? 20/08/2006 21:29:00 (+0700) | #2 | 16443
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

vietwow wrote:
Mình đang muốn tìm hiểu & nghiên cứu về Incident Response - Network Forensic. Tuy đã đọc qua 1 số article về lĩnh vực này trên securityfocus nhưng vẫn còn khá "lờ mờ" nên ko bít bắt đầu từ đâu. Nếu ai rành thì xin giới thiệu giùm 1 số tài liệu hay về lĩnh vực này giùm

Thanx :wink:  


Mục đích của việc nghiên cứu này là gì đối với cá nhân của em và hoàn cảnh, môi trường làm việc của em?

Em "lờ mờ" phương diện nào? Ứng tác đến tình huống bị thâm nhập hay là phân tích hiện trường sau khi bị thâm nhập? Em "lờ mờ" về khái niệm hay các bước thực hiện?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Incident Response - Bắt đầu từ đâu ? 21/08/2006 01:10:18 (+0700) | #3 | 16492
vietwow
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Dạ, mục đích việc nghiên cứu này trước tiên là nâng cao kiến thức của em vì từ lâu em vốn đã rất yêu thích lĩnh vực này smilie thứ 2 là em nghĩ là trong tương lai em sẽ "đụng" 1 số project về lĩnh vực này nên bắt đầu từ bây giờ có lẽ là vừa kịp :wink:

Hiện giờ thì em chỉ biết 1 số công đoạn của Incident Response/Computer Forensic và em cũng đang luyện tập nó hằng ngày đó là phân tích packet và phân tích log. Bên cạnh đó "kinh nghiệm" và "kỹ năng quan sát" cũng cực kỳ quan trọng nên em cũng theo dõi hẳng ngày "nhật ký" của thằng SANS để học hỏi 1 số kinh nghiệm. Ngoài ra em ko bít nên tìm hiểu thêm về những gì smilie(
[Up] [Print Copy]
  [Question]   Re: Incident Response - Bắt đầu từ đâu ? 22/08/2006 08:29:16 (+0700) | #4 | 16849
vietwow
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Anh conmale đâu rồi nhỉ smilie( trả lời giúp em với
[Up] [Print Copy]
  [Question]   Re: Incident Response - Bắt đầu từ đâu ? 22/08/2006 21:23:49 (+0700) | #5 | 16936
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

vietwow wrote:
Dạ, mục đích việc nghiên cứu này trước tiên là nâng cao kiến thức của em vì từ lâu em vốn đã rất yêu thích lĩnh vực này smilie thứ 2 là em nghĩ là trong tương lai em sẽ "đụng" 1 số project về lĩnh vực này nên bắt đầu từ bây giờ có lẽ là vừa kịp :wink:

Hiện giờ thì em chỉ biết 1 số công đoạn của Incident Response/Computer Forensic và em cũng đang luyện tập nó hằng ngày đó là phân tích packet và phân tích log. Bên cạnh đó "kinh nghiệm" và "kỹ năng quan sát" cũng cực kỳ quan trọng nên em cũng theo dõi hẳng ngày "nhật ký" của thằng SANS để học hỏi 1 số kinh nghiệm. Ngoài ra em ko bít nên tìm hiểu thêm về những gì smilie(  


Khi nói đến incident responses là nói đến 2 phần: Quy định ứng tác khi sự cố xảy racác bước ứng tác.

Những điểm em nêu ra ở trên rơi vào phần 2. Nếu không có phần 1 thì phần 2 gần như... vô ích.

Điều đầu tiên em cần là thiết lập quy định ứng tác khi sự cố xảy ra:
- cho hệ thống có đòi hỏi mức availability là thế nào?
- cho hệ thống có cấu trúc, tổ chức ra sao?
- ai là người chịu trách nhiệm?
- ai là người được liên hệ đầu tiên?
- công tác điều tra sẽ ảnh hưởng đến availability của hệ thống thế nào?
- hệ thống có được bảo hiểm hay không, nếu có, cty bảo hiểm chịu đền bù những gì?
- những dữ kiện thu thập được trong quá trình điều tra dùng để làm gì? (tăng cường bảo mật sau này? báo cáo cho cty bảo hiểm? báo cáo cho nhà chức trách để truy tố?.....)
- ....
- ....

Sau khi có quy định được hình thành hẳn hòi, em mới hình thành các bước đáp ứng cho từng quy định.

Kỹ năng đọc và phân tích packets là một trong những kỹ năng cần thiết cho công tác forensic. Tuy nhiên, forensic không chỉ dừng lại ở đây. Forensic đi xa và đi sâu tuỳ vào cách thiết lập hệ thống của em. Ví dụ, em dùng chế độ remote logging (không chứa log ngay trên chính máy chủ nào đó mà cho nó log đến 1 log server khác) hoặc em dùng một dạng keylogger trên máy chủ để thâu lại các hoạt động đã xảy ra trên máy chủ.... Bởi vậy, trau dồi kỹ năng forensic đòi hỏi kiến thức và am hiểu sâu xa về chính system mình quản lý.

Điều cần lưu ý nhất là:
- incident response là việc ứng tác để mang hệ thống trở lại hoạt động càng sớm càng tốt.
- forensic là việc điều tra để lấy thông tin cho các quy định đã đưa ra.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Incident Response - Bắt đầu từ đâu ? 23/08/2006 13:21:09 (+0700) | #6 | 17233
vietwow
Member
[Minus]    0    [Plus]
Joined: 28/06/2006 13:15:47
Messages: 90
Offline
[Profile] [PM]
Cám ơn anh conmale đã giúp em nhận thức rõ hơn, mặc dù lĩnh vực này chưa phát triển ở vn nhưng em vẫn sẽ cố gắng hết mình để tìm hiểu smilie)
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|