説明
リプレイ攻撃は、有効なデータ送信が悪意を持ってまたは不正に繰り返されたり遅延されたりするネットワーク攻撃の一種です12。これにより、攻撃者は、受信者にとって正当に見えるパスワードやセッション トークンなど、以前にキャプチャされたメッセージを再送信することによってホストを侵害する可能性があります1。リプレイ攻撃は、ランダムなセッション キー、タイムスタンプ、または使用後に期限切れになるワンタイム パスワードなどの方法を使用することで防ぐことができます12。リプレイ攻撃は、整数オーバーフローとは異なります。整数オーバーフローは、算術演算によって、利用可能な記憶域内で表現するには大きすぎる数値を作成しようとしたときに発生するソフトウェア脆弱性の一種です3。競合状態は、複数のプロセスが同じデータに同時にアクセスして操作するときに発生する別の種類のソフトウェア脆弱性であり、結果は実行順序によって異なります3。メモリ リークは、プログラムが不要になったメモリの解放に失敗した場合に発生するソフトウェア欠陥の一種で、プログラムが必要以上にメモリを消費し、システムのパフォーマンスや安定性に影響を与える可能性があります3。

インシデント対応計画は、組織がセキュリティ インシデントにどのように対応すべきかを定義する一連の手順とガイドラインです。インシデント対応計画には通常、準備、特定、封じ込め、撲滅、回復、教訓のフェーズが含まれます。
コア ネットワーク サービスにアクセスできない複数の場所にいるユーザーからヘルプ デスクが電話を受けた場合は、ネットワークの停止またはサービス拒否攻撃が発生したことを示している可能性があります。ネットワーク チームは、リモート コマンドを使用してネットワーク スイッチを特定し、オフにしました。これは、影響を受けるデバイスを隔離し、さらなる被害を防ぐための封じ込め措置となる可能性があります。
ネットワーク チームがとるべき次のアクションは、組織のインシデント対応計画を開始することです。これには、経営陣、セキュリティ チーム、法務チームなどの適切な関係者に通知し、事前に定義された手順に従って調査、分析、文書化することが含まれます。 、事件を解決します。
他のオプションは次の理由により正しくありません。
a) ファイアウォールからすべての外部ネットワーク接続を切断します。これは、外部の攻撃者がネットワークにアクセスするのを防ぐためのもう 1 つの封じ込め措置である可能性がありますが、正規のネットワーク トラフィックとサービスも混乱させることになります。この措置は、インシデント対応計画の一部である場合にのみ、関係者に通知した後に実行する必要があります。
b) 更新を実行するために、対応チームをネットワーク スイッチの場所に派遣します。これは、通常のネットワーク動作を復元し、将来のインシデントを防ぐためにパッチまたはアップデートを適用するための回復手段である可能性がありますが、インシデントが適切に特定され、封じ込められ、根絶された後にのみ実行される必要があります。
c) 集中管理ソフトウェアを使用して、すべてのネットワーク スイッチの電源をオンにします。これは、通常のネットワーク動作を復元するための回復措置である可能性がありますが、インシデントが適切に特定され、封じ込められ、根絶された後にのみ実行される必要があります。
CompTIA Security+ SY0-601 試験の目的 1.5 によると、与えられたシナリオで侵害の兆候を分析し、マルウェアの種類を特定します。
「インシデント対応計画は、組織がセキュリティ インシデントにどのように対応すべきかを定義する一連の手順とガイドラインです。インシデント対応計画には、通常、準備、特定、封じ込め、撲滅、回復、教訓というフェーズが含まれます。」