Отчет о расследовании описывает шаги атакующих, которые они выполнили, чтобы реализовать критическое событие. Например, как отдельные шаги нужно описывать перехват или получение сессии внутри объекта инфраструктуры, перемещение внутри периметра, получение учетной записи. Во время заполнения отчета вы можете добавлять, удалять шаги и менять их местами.
Внимание! Не пропускайте шаги: каждый следующий шаг должен вытекать из предыдущего. Источник атаки — это цель атаки из предыдущего шага. Финальным шагом должен быть пункт «Реализация критического события».
Заполните поля отчета:1. Укажите выполненное действие. Выберите подходящее действие из списка, оно и будет названием шага. Пункт «Другое» следует выбирать, только если вы уверены, что действие не подходит ни под один из вариантов. В этом случае нужно добавить описание шага.
С подробным описанием шагов реализации критического события можно ознакомиться
в гайде по заполнению отчетов атакующими.
2. Введите время атаки или временной интервал.
По умолчанию устанавливается время создания отчета. Обязательно измените значение на реальное время атаки.
Не указывайте период длиной в день. Точный временной промежуток скажет жюри о том, что вы разобрались во всех подробностях атаки. Жюри затратит меньше времени на поиск записи об инциденте в средстве защиты и проверку отчета, и вы быстрее получите результаты.
3. Введите описание атаки и используемой уязвимости. Например: «С помощью утилиты regsvr32. exe получен дамп памяти процесса lsass. exe на узле dwilkerson.energy.stf» или «Подключившись через бота поддержки к SCRM-системе, атакующие забрали файл scrm_db.sql, который содержит персональные данные». Поясните, почему вы считаете выявленные события нелегитимными.
Необходимо не просто скопировать текст из средств защиты, а подробно проанализировать выявленные действия атакующих и описать суть атаки. Это покажет жюри, что вы сумели верно разобраться в действиях атакующих. Сообщения из средств защиты можно прикрепить к шагу в виде скриншотов.
4. Укажите источник и цель атаки, а также используемый доступ или учетную запись. Учитывайте последовательность шагов: источник атаки — это цель атаки из предыдущего шага.
5. Введите путь к файлу. Например,
scrm.energy.stf/database/scrm_db.sql.
6. Приложите скриншоты, подтверждающие действия атакующих. Например, скриншоты из средств защиты. Для последнего шага о реализации критического события скриншоты обязательны, без них отчет будет возвращен на доработку.
Вы можете сразу отправить отчет на проверку или сохранить его и вернуться к заполнению полей позже. Сохраненные отчеты находятся на вкладке
Черновики.