Les 6 - Als het fout gaat Flashcards
CERT
CERT: Computer Emergency Response Team. Een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Richt zich ook op preventie en preparatie.
Chain of custody: identification, preservation, collection, examination, analysis, presentation, decision
Chain of Custody (CoC): De chronologische paper/audit trail van papieren- en digitale documentatie. Wat er mee is gebeurd, wie wat waneer heeft gedaan.
Collection: Identificatie en labeling data > Examination: Zoeken naar bruikbare data > Analysis: Uitkomst van de Examnation - de data zelf
COOP (Continuity Of Operations Plan)
COOP: Continuity of Operations Plan. Een plan waarin wordt beschreven hoe een organisatie haar dienstverlening kan voortzetten in het geval van een incident.
Disaster Recovery Planning
Onderdeel van een Continuity of Operations Plan. Wordt toegepast bij delen van de organisatie die afhankelijk zijn van een IT-infrastructuur om te functioneren. Doel is om een plan op te stellen waardoor de IT-afdeling genoeg data en systeem functionaliteit kan herstellen om de organisatie haar dienstverlening verder te laten gaan.
Injected DLLs
DLL Injection: Dynamic-link library Injection. Een extern programma die code injecteert in processen om programma’s iets te laten doen waarvan het niet de standaard bedoeling is.
IRT
IRT: Incident Response Team. Een team dat zich voorbereid op het reageren op en afhandelen van incidenten. Heeft idealiter van tevoren al protocollen opgesteld om negatieve gevolgen te beperken.
Log management
Log management: Een manier om de door een computer aangemaakte logs te beheren bijv. opslaan, analyse en zoekmogelijkheid.
LOGs
Een log file is een bestand dat events opslaat die plaatsvinden in bijv. softwareoperaties of communicatie tussen entiteiten.
Principle of using “Dependency walker” on the Process Table
Dependency Walker: Tool die een Windows-module (bestandstype) scant en alle functioneel afhankelijke modules in een hierarcisch boom diagram laat zien samen met de minimum benodigde files.
RAID 0, 1, 3, 5, 6, 7
RAID: Redundant Array of Inexpensive Disks. Een set methodieken waarbij gegevens over schrijven verdeeld worden, op meer dan één schijf worden opgeslagen, of beide ten behoeve van snelheidswinst en/of beveiliging tegen gegevensverlies. Kan door software of een hardware controller worden gerealiseerd. RAID is géén back-up!
Pariteitsbit: Alle bits moeten een even aantal 1 hebben.
Raid 0: Striping. Videotoepassingen, beeldbewerking.
Voordelen: Supersnelle I/O, Geen verlies opslagcapaciteit, Eenvoudige implementatie.
Nadeel: Niet fouttolerant
Raid 1: Mirroring. Doel: Mission Critical Servers en Kleine servers (2 disks al voldoende)
Voordelen: 1:1 spiegeling van drives, Goede I/O vergelijkbaar met single disk, fouttolerant (1 disk kan uitvallen), simple herstel (kopiëren), eenvoudige technologie
Nadelen: Helft van de totale opslagcapaciteit omdat data dubbel wordt opgeschreven, How Swap is niet altijd mogelijk en vereist speciale controllers.
Raid 3: Paralelle data opslag, Pariteit wordt per setje bytes opgeslagen, kan door deze pariteitsdata vaak niet tegelijkertijd schrijven en lezen. Soort van RAID 5, maar Pariteitsdata wordt naar 1 schijf geschreven.
Raid 5: Striping met Pariteit. Minimaal 3 drives nodig. Meest gebruikt. Ideaal voor redelijke performance, goede beveiliging, efficiente opslag.
Voordelen: Lezen snel en schrijven iets minder (door Pariteitsbit berekenen), Bij het falen van 1 drive is deze te rebuilden.
Nadelen: Complexe technologie, Rebuilden kan lang duren, 2 driven crash is data gone
Raid 6: Striping met Dubbele Pariteit. Gebruik: In grote parken waar redelijke performane, efficiënte opslag en hoge betrouwbaarheid veel mag kosten.
Voordelen: Drives zijn zelfs te rebuilden als 2 drives verloren gaan, Tijdens de rebuild van een drive mag er nog een drive sneuvelen, Lezen is snel.
Nadelen: Zeer complexe technologie, Schrijven is langzaam door pariteitsberekeningen.
Raid 7: Trademarked by Storage Computer Corporation. Op basis van RAID 3 en 4, maakt gebruik van caching en een speciale processor voor verbeterde I/O
Scrubbing
Data Scrubbing: Een error correctie techniek waardoor opslag in de achtergrond wordt gemonitord op errors (onjuistheden van data) en dat die errors worden verholpen d.m.v. redundante data (copie van data).
Analysis: write blocker, baseline, physical protection media
Write blocker: Een apparaat wat ervoor zorgt dat write commands (gedeeltelijk) worden geblocked en alleen read commands worden toegelaten. Dit maakt het mogelijk om data van een schijf te halen zonder de mogelijkheid de inhoud hiervan per ongeluk aan te passen.
Baseline: Een hash maken van de data aan het begin en die vergelijken met de data hash aan het eind om de integriteit van data te waarborgen.
Physically Protecting the Media: Het fysiek beschermen van media (bijv. schrijven). In Bijv. een kluis.
Email header interpreting: detecting spoofed email, verifing emai routing (logs)
Email header information: Mensen kunnen informatie in de email header aanpassen, zodat er geen PII in staat.
Detecting Spoofed Email: Spoofed Email: een email die van een andere entiteit lijkt te komen. Kijken naar de ““Received:”” en ““Message-ID:””. ““Received:””: terugherleiden door welke email servers het bericht is gehopt en de DNS-namen hiervan vergelijken met in-en uitgaande informatie. ““Message-ID:””: Hoort te matchen met de domein naam van de verzender. *Geadviseerd om ook te letten op de ““From:”” + ““Reply-To:”” & ““X-Mailer:”” velden.
Verifying Email Routing: De route van de email kan worden gevalideerd door de hops te herleiden die een email heeft genomen. Dit kan worden gedaan door de DNS namen en als het mogelijk is de email transactie LOGs van de email servers op te vragen voor het ““Received”” veld. De ““Message-ID”” informatie kan worden opgezocht in de LOGs als extra validatie.
Hot, warm, cold recovery
Hot: Alle benodigde apparatuur en personeel (middelen) zijn beschikbaar, volledig bruikbaar en beschikbaar. = Volledig operationeel data center + customer data
Warm: Bevat een deel van de benodidge middelen. Organisaties vullen dit zelf aan in het geval van een Disaster Recovery. = Uitgerust data center, zonder customer data
Cold: Alleen een ruimte en relevante infrastructuur (bijv. energie, telecom en controls voor IT-systems) beschikbaar en wordt alleen geinstalleerd als Disaster Recovery services zijn geactiveerd. = Alleen het noodzakelijk in het begin beschikbaar: HVAC, power & Communicatie.
Recovery techniques: role of the FAT/NTFS
FAT: File Allocation Table. Bewaart informatie over hoe het informatie opslaat. FAT12, 16 & 32.
NTFS: Het standaard bestandsysteem voor Windows. Beter dan FAT: betrouwbaarheid, snelheid, opslag en beveiliging.
