رخدادهای نوع پنجم: جاسوسی
جاسوسی عبارت است از سرقت اطلاعات برای تخریب منافع یك سازمان یا یك دولت. در بسیاری از موارد دسترسی غیر مجاز به سیستم­های یك شركت نیز برای مقاصد جاسوسی انجام می­گیرد.
 
فعالیت 1: یك گروه هسته ای بسیار كوچك داشته باشید
در موارد جاسوسی و اعمال مجرمانه داخلی سازمان، در اختیار داشتن تعداد زیادی نیروی كمكی چندان هم مفید نیست. با افزایش تعداد اعضای گروه تحقیق، خطر نشت اطلاعات یا تخریب شواهد نیز افزایش می­یابد. رهبر فنی باید یكی از معتدل­ترین اعضای گروه مدیریت رخداد، و كسی باشد كه در شرایط حساس گذشته، قابلیت­های خود را اثبات كرده باشد. مساله ای كه اغلب پیش می آید این است كه آیا مسئولیت سیستمی كه در یك حمله هدف قرار گرفته است باید بر عهده مدیر سیستم قرار بگیرد یا خیر؟ اگر شما به اندازه كافی اطمینان دارید كه شخص مدیر سیستم در عملیات جاسوسی درگیر نیست، پاسخ این سوال احتمالا مثبت خواهد بود.
 
فعالیت 2: بیشترین داده ها را جمع آوری كنید
اطمینان حاصل كنید كه ركوردهای دسترسی مربوط به دستگاه­ های تحت تاثیر حمله، جمع آوری شده و كاملا محافظت می­شوند. این ركوردها ممكن است شامل ركوردهایی از سیستم­های دسترسی مشخص، ركوردهای تلفن از PBX سازمان شما، كتاب­های لاگ، لاگ­های سیستم، لاگ­های شبكه و ویدئوهای دوربین­های كنترلی باشند. تا حد امكان داده های بیشتری را جمع آوری نمایید.
 
فعالیت 3: جاسوس را گمراه كنید
اگر فردی خارج از سازمان در حال جمع آوری اطلاعات است، ممكن است قادر باشید اطلاعات غلطی را به وی ارائه كرده و به این ترتیب از رخداد بهره برداری نمایید. اما اگر شما مشكوك هستید كه فردی در داخل سازمان در حال جمع آوری و انتشار این اطلاعات است، احتمال كاركرد این روش پایین می آید.
 
فعالیت 4: هدف را تحلیل كنید
در مورد اهداف محتمل فعالیت جاسوسی سوال كنید. برای هر هدف احتمالی، بپرسید كه چه اطلاعاتی ارزشمند هستند؟ چه كسی در خارج از سازمان ممكن است از در دست داشتن این اطلاعات سود ببرد؟ تمامی راه ­های ممكن برای رسیدن به این اهداف چیست؟ دو یا سه راه محتملتر برای رسیدن به این اهداف چه هستند؟ این روال شما را به یك سوال ساده اما مهم رهنمون می­شود: آیا ابزارهای نظارتی برای محتملترین راه ها برای دسترسی به محتملترین اهداف در محل قرار دارند؟ اگر پاسخ این سوال مثبت است، بلافاصله شروع به بازبینی داده های نظارتی نمایید. در غیر اینصورت، تصمیم بگیرید به چه چیزی برای نظارت بر محتملترین راه­ ها برای دسترسی به محتملترین اهداف نیاز دارید. همان كار را انجام دهید.
 
فعالیت 5: یك اتاق جنگ ایجاد كنید
اتاق جنگ، یك اتاق امن با كپی­هایی از شواهد موضوع است. هدف اتاق جنگ این است كه داده ها به یك روش معنی دار نمایش داده شوند تا به حل موارد مشكل كمك نمایند. دیوارهای اتاق جنگ می­توانند با شواهد، خطوط تحقیق، نمودارهایی از پروسه تحلیل هدف، نقشه هایی از محوطه و طرح­هایی از ابزارها و دستگاه­ها پر شده باشد. یك ضبط صوت و TV/VCR نیز باید در دسترس باشد، ضبط و پخش مجدد مصاحبه ها معمولا ایده خوبی است.
 
رخدادهای نوع ششم: Hoax ها
در اوایل سال 1995، صدها هزار كاربر با دسترسی به اینترنت، اطلاعاتی در مورد یك ویروس به نام Good Time Virus منتشر كردند، در حالیكه این ویروس اساسا وجود خارجی نداشت. Hoax ها، رخدادهای معتبری هستند (به خاطر داشته باشید كه تعریف ما از یك رخداد، شامل تهدید یك رویداد مضر می­شود). این Hoax ها منابع پاسخگویی به رخدادهای جدی را به اشغال در می آورند. Hoax ها همچنین با انتشار ترس، عدم اطمینان و شك، كاربران را ناراحت می­سازند.
 
فعالیت 1: به فهرست­های Hoax ها در اینترنت مراجعه نمایید.
 
رخدادهای نوع هفتم: دسترسی غیر مجاز
دسترسی غیر مجاز از ورود بی اجازه به یك حساب كاربری (مانند زمانی كه یك هكر به حساب یك كاربر معتبر وارد می­شود) تا دسترسی غیر مجاز به فایل­ها و دایركتوری­های ذخیره شده بر روی یك سیستم یا حافظه با حق دسترسی كاربر ارشد را شامل می­شود. دسترسی غیر مجاز می­تواند همچنین شامل دسترسی به سیستم­های كامپیوتری دیگر از طریق جمع آوری نام كاربری و كلمه عبور از طریق یك برنامه شنود غیر مجاز، یا دستگاهی برای جمع آوری تمامی بسته هایی كه از یك نقطه خاص یك شبكه عبور می­كنند، باشد. یك روش معمول دیگر برای ایجاد دسترسی غیر مجاز عبارت است از سوء استفاده از یك آسیب پذیری در سیستم­های اطلاعاتی، مسیریاب­ها یا فایروال­ها. اسكریپت­های سوء استفاده كننده برای ایجاد دسترسی غیر مجاز، به طور گسترده ای بر روی وب سایت­های هكرها موجود هستند.
 
فعالیت 1: محافظت­های مربوط به فایروال یا مسیریاب فیلتر را بررسی كنید
تنها راه محتمل برای یك حمله از خارج، استفاده از ارتباطات شبكه یك سازمان و به طور خاص ارتباط اینترنت است. در صورت امكان، r-utilities، sunrpc، xwindows یا NetBIOS/IP را غیر فعال نمایید. سرویس­های Telnet و FTP باید صرفا برای سیستم­هایی مجاز باشند كه قطعا نیاز به ارائه این سرویس­ها در اینترنت دارند. سرورهای وب و DNS و سیستم­های ارسال ایمیل همیشه هدف­های مشهوری برای مهاجمان بوده اند. تا جایی كه ممكن است سرویس­های كمتری را بر روی این سیستم­ها اجرا نمایید و اطمینان حاصل كنید كه كاملا محافظت شده اند.
 
فعالیت 2: سرویس­های دسترسی را به طور منظم بررسی كنید
برای انجام یك حمله بر روی یك سیستم یا یك شبكه، دسترسی به حساب یك كاربر دیگر الزامی نیست. یك نفوذگر می­تواند با سوء استفاده از سرویس­های موجود، به اطلاعات دسترسی پیدا كرده و برنامه هایی مانند تروجان را نصب نماید. یك نمونه، استفاده افراد خارجی از سیستم فایل شبكه (NFS) یا مكانیزم­های دسترسی به فایل در ویندوز NT، برای دسترسی به فایل­ها و دایركتوری­ها در دامنه دیگری از سازمان شماست.