¿Cómo hacer un informe después de un ataque de ddos? ¿Qué información necesito para escribir en el informe?

16

En mi empresa, después de un DDOS contra un servidor, mi empleador me pidió que hiciera un análisis del ataque y que escribiera algunas cosas.

¿Qué crees que debo escribir en mi informe?
¿Hay alguna plantilla disponible de un CIRT u otra organización que pueda usarse después de un incidente?
¿Cuál es la mejor práctica sobre este tipo de informe?

En mi primer análisis encontré dónde estaba planeado el ataque (un canal IRC).
Encontré información sobre la herramienta utilizada y la URL donde se puede descargar la herramienta.
El ataque se realiza con un LOIC y no con ningún tipo de botnet (como sé). El ataque se planificó sin una organización jerárquica, pero se organizó y enloqueció con la ayuda de personas reclutadas mano a mano compartiendo un pequeño manifiesto y compartiendo a través del IRC y twitter de un JPG que contiene la información sobre el objetivo y la hora. del ataque.
¿También necesito escribir algunas cosas sobre las personas alrededor de este ataque?

alguna sugerencia?

POR FAVOR: una sugerencia, una respuesta, para que podamos tener una buena práctica comunitaria al final :)

    
pregunta boos 07.03.2011 - 20:30
fuente

1 respuesta

22

Siento no tener un buen enlace, pero mi idea es que quieres cubrir:

¿Qué pasó?

  • ¿Cuándo sucedió y por cuánto tiempo continuó?
  • ¿Quién lo hizo y cómo?
  • ¿Qué fue afectado? ¿Qué sitios, qué servidores, cuántos servidores, qué parte del negocio? ¿Qué clientes?
  • Análisis de causa raíz

¿Cuál fue el impacto?

  • Daños a los servidores
  • Daños / exposición de información
  • Daños a la reputación corporativa
  • Daño a la vida humana (cruzando los dedos que esto es un no definitivo!)
  • Costo de recuperación (tiempo, equipo, etc.)

Halting/Preventing

  • ¿Qué se ha hecho hasta ahora? Divídalo en respuesta inmediata frente a actualizaciones en curso.
  • ¿Qué más se debe hacer?
  • ¿Cuál es la proyección para que esto vuelva a suceder?
  • ¿Qué pasa con algo como esto, pero no exactamente lo mismo?
  • ¿Hay algún cambio que podamos hacer en el proceso futuro para prevenir / mitigar este tipo de riesgo?

Irrumpir en pasado / presente / futuro: ¿qué hicimos de inmediato, qué estamos haciendo ahora, cuáles son las grandes cosas que deberíamos hacer en el futuro que requerirán una financiación de alto nivel?

Pronóstico del futuro

  • Si hacemos todo en el informe, ¿cuál es el estado probable del sistema para futuros ataques? Probablemente no sea "a prueba de balas", así que haga una evaluación de la probabilidad.
  • ¿Qué tal si dejamos el sistema en su estado actual (parcialmente arreglado)?
respondido por el bethlakshmi 08.03.2011 - 22:05
fuente

Lea otras preguntas en las etiquetas