رخدادهای نوع اول: حملات كدهای خرابكار
كد خرابكار، نامی است كه به برنامه هایی مانند ویروسها ، تروجان ها كرم­ها و اسكریپت­هایی اطلاق می­گردد كه توسط هكرها برای به دست آوردن حق دسترسی، جمع آوری كلمات عبور و تغییر لاگ­های بررسی به منظور پنهان سازی فعالیت­های غیر مجاز مورد استفاده قرار می­گیرند. كد خرابكار معمولا طوری طراحی می­شود كه تشخیص و ردیابی آن مشكل باشد. ویروس­های خاص حتی می­توانند امضای خود را نیز تغییر دهند.
توجه: حتی وقتی فایروال ها و سایر ابزارهای دفاعی شما دشمنان را متوقف می­سازند، باز هم ممكن است این مهاجمان قادر باشند از طریق یك كد تروجان از پیش نصب شده بر روی كامپیوتر شما به هدف خود برسند. به طور معمول شما نباید فقط به یك ابزار امنیتی، مانند یك فایروال یا یك آنتی ویروس به تنهایی اكتفا كنید، زیرا در آن صورت ممكن است نتوانید در برابر كدهای خرابكار از خود محافظت نمایید.
 
فعالیت1: از آنتی ویروس­ها استفاده كنید
یك نرم افزار آنتی ویروس می­تواند برای محافظت در برابر انتشار ویروس­های معمول، تروجان­ها و كرم­ها موثر باشد. اطمینان حاصل كنید كه نرم افزار آنتی ویروس شما به طور گسترده در دسترس بوده و فایل­های امضای ویروس آن به روز هستند. از مكانیزم­هایی استفاده كنید كه به روز رسانی امضاهای ویروس­ها را به طور خودكار انجام می­دهند.
 
فعالیت 2: كاربران را تشویق كنید تا فعالیت­های مشكوك را گزارش دهند
كاربران را تشویق نمایید تا فعالیت­های مشكوك را گزارش نمایند و به این ترتیب، در تشخیص زودهنگام یك آلودگی به شما كمك كنند. كاربران آموزش دیده می­توانند مانند یك حسگر در تشخیص اتفاقات غیر معمول موثر باشند. فعالیت غیر قابل توضیح دیسك، پیغام­های سیستمی غیر معمول، پروسه های عجیب و رفتارهای نرم افزاری غیر قابل توضیح، می­توانند نشانه هایی از آلودگی سیستم توسط یك كد خرابكار باشند. یك آدرس ایمیل یا شماره تلفن خاص برای گزارش فعالیت­های مشكوك توسط كاربران داخلی اختصاص دهید.
 
فعالیت 3: در مورد ترافیك غیر عادی خروجی شبكه خود مراقبت نمایید
ممكن است نمونه هایی از كد خرابكار از طریق HTTP، IRC و یا پروتكل­های دیگر، با سیستم­های خارج از شبكه شما ارتباط برقرار نمایند تا از این طریق انتشار یافته، اعلام موقعیت كرده یا به روز رسانی­های خود را دانلود نمایند. سیستم­های نظارتی شبكه را بر تشخیص بسته های غیر قابل توضیحی كه از محدوده شبكه سازمان شما بر روی اینترنت ارسال می­شوند متمركز كنید. چنین فعالیت­هایی اغلب در هنگام راه اندازی سیستم، و مخصوصا در نخستین دفعه راه اندازی سیستم پس از آلودگی اولیه اتفاق می افتند.
 
فعالیت 4: پروسه بارگذاری نرم افزار را خودتان انجام دهید
پروسه هایی را برای نصب تمامی سیستم عامل­ها و برنامه های نرم افزاری از پیكربندی­های تست شده و به طور محلی ایجاد كنید. كاربران را از نصب كردن نرم افزارهای دانلود شده از طریق اینترنت منع نمایید و بر لزوم استفاده از تصویر برنامه های مورد اعتماد داخلی سازمان تاكید كنید.
 
فعالیت 5: منابع پشتیبانی جایگزین در نظر بگیرید
فعالیت­های خود را در یك سناریو كه توسط یك كد خرابكار نه چندان شناخته شده آلوده شده اید در نظر بگیرید. در این حالت شما قادر نخواهید بود اطلاعات جزئی و دقیقی را درباره این برنامه از تولید كننده آنتی ویروس خود دریافت كنید. برای مقابله با چنین وضعیتی، اطلاعات تماس لیست­های ایمیل و منابع مرتبط و گروه­های كاربری را كه ممكن است در چنین شرایطی برای كنترل و محدود سازی و پاكسازی رخداد به آنها نیاز داشته باشید، همواره در دسترس داشته باشید.
 
رخدادهای نوع دوم: Probe ها و نقشه برداری شبكه
Probe ها یك حالت خاص از تلاش برای ایجاد دسترسی غیر مجاز هستند. یك گروه از probe ها زمانی اتفاق می افتند كه یك نفوذگر بالقوه از یك اسكریپت سوء استفاده كننده بر علیه سیستم­های اطلاعاتی یا فایروال شما استفاده نماید و كار این اسكریپت موفقیت آمیز نباشد. این عدم موفقیت به این دلیل اتفاق می افتد كه اسكریپت سوء استفاده كننده، آسیب پذیری هدف را پیدا نكرده است. این probe سپس تلاش می­كند با استفاده از بسته های پینگ SNMP یا ICMP، از شبكه شما نقشه برداری كند تا به معماری این شبكه پی ببرد. یك گروه دیگر از probe ها به سادگی برای جمع آوری اطلاعات مورد استفاده قرار می­گیرند. در این حالت، مهاجم گروهی از پورت­های مختلف (به این عمل بررسی پورت (port scan) گفته می­شود) یا آدرس­های میزبان (host scan) را تست كرده و تلاش می­كند تا از امكانات شما نقشه برداری نماید. برخی مهاجمان در جستجو برای یافتن مودم­ها، تلفن­های سازمان شما را هدف قرار می­دهند. با استفاده روز افزون از شبكه های بی­سیم، مهاجمان با استفاده از اسكنرهای بی­سیم مانند NetStumbler، سعی می­كنند این شبكه ها را پیدا نمایند.
 
فعالیت 1: Probe ها را به CIRT خود گزارش دهید
حتی اگر ابزارها و سیستم­های شما دارای آسیب پذیری نباشند، ممكن است كاربران و متصدیان و كارپردازان شما كه با سیستم­ها سر و كار دارند آسیب پذیر باشند. اگر چنین افرادی به سیستم­های شما دسترسی داشته باشند، سیستم­ها و ابزارهای شما نیز می­توانند آسیب پذیر گردند. بحث­هایی در این زمینه وجود دارد كه آیا افراد باید با گزارش دادن probe های مشاهده شده، CIRT ها را به زحمت بیندازند یا خیر. یك دلیل مهم برای گزارش دادن probe ها به CIRT این است كه آنها مانند یك آژانس گزارشی مركزی كار می­كنند. بارها و بارها probe هایی مشاهده شده اند كه توسط سایت­های كوچك جدی گرفته نشده اند، ولی بخشی از حملات بزرگتری علیه بسیاری از سایت­ها بوده اند.
 
فعالیت 2: خرابی احتمالی را ارزیابی نمایید
بسیار مطلوب است اگر فرد نفوذگر موفق نشود وارد شبكه شده و خرابی به بار آورد، ولی حتما بررسی كنید كه آیا مهاجمان اطلاعاتی كه بعدها قابل استفاده باشد، راجع به سیستم عامل­ها و معماری شبكه شما به دست آورده اند یا خیر. لاگ­های شبكه و سیستم را به دقت بررسی كنید. اگر یك اسكریپت یا تكنیك سوء استفاده كننده مشاهده می­كنید، آن را بر علیه خودتان اجرا كنید تا متوجه شوید چه اطلاعاتی می­توان از آنها به دست آورد.
 
رخدادهای نوع سوم: انکار سرویس
كاربران بر سرویس­های ارائه شده توسط شبكه ها و كامپیوترها تكیه و اعتماد می­كنند. مهاجمان از بسیاری از ابزارها استفاده می­كنند تا در كار شبكه یا كامپیوتر شما وقفه ایجاد نمایند. آنها این كار را از طریق حذف یك برنامه حیاتی، ارسال هرزنامه و بمباران ایمیلی و تغییر كاركرد سیستم از طریق نصب یك برنامه تروجان انجام می­دهند.
 
فعالیت 1: از نسخه های پشتیبان برای سرویس­های مركزی استفاده كنید
محتمل­ترین اهداف برای یك حمله شبكه ای در سازمان شما، سرورهای DNS، سرورهای وب و سرورهای ایمیل هستند. اگر سازمان شما فعالیت­های زیادی را بر روی اینترنت انجام می­دهد، ممكن است بهتر باشد برای ایجاد امكانات پشتیبان گیری، هزینه هایی را نیز پرداخت نماید. حملات انكار سرویس به علت ردیابی سخت و اجرای آسان و مؤثر، حملات مشكل سازی به حساب می آیند. در چنین محیط خطرناكی، استفاده از نسخه های پشتیبان برای بازیابی سیستم از یك حمله انكار سرویس، كار بسیار هوشمندانه ای محسوب می­شود.