Erste Hilfe für die IT - Incident Response

Transkript

1 Erste Hilfe für die IT - Incident Response Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw Zentrum für Informationstechnik der Bundeswehr

2 2

3 Quelle: (Jan 2015) 3

4 Durch wen werden Incidents entdeckt: Durch eigene Erkennungsmechanismen (Mitarbeiter, Logging, Intruision Detection Systeme) 37% Durch Externe (Partner, Strafverfolgungsbehörden, Kunden ) 63% Wie lange dauert es bis zur Entdeckung im System seit der Kompromitierung Ø 243 Tage Quelle: M-Trends 2013, www. Mandiant.com 4

5 ISO/IEC Plan and Prepare Detection and Reporting Assessment and Decision Responses Lessons Learnt CERT/CC ( CMU/SEI-2004-TR-015 ) Prepare, sustain and improve CSIRT processes Protect infrastructure Detect events Triage events Respond nist.gov (SP Rev.2) 5

6 6

7 7

8 Incident Report Registration Triage Incident Resolving Post Analysis 8

9 Wo ist etwas geschehen? Was ist geschehen? Wie viele Personen sind betroffen? Welche Art der Erkrankung/Verletzung liegt vor? Warten auf Rückfragen! 9

10 Wann und wie wurde der Incident erkannt? Was ist geschehen? (Auswirkungen) Wie ist es passiert? (Erste Anzeichen) Warum ist der Incident passiert? 10

11 Proaktive Erkennung Automatisiert Intrusion Detection/Prevention System Firewall Reaktive Erkennung Meldung Intern Extern Security Incident and Event Management System (SIEM) Logfiles Netzwerk Systeme 11

12 Ist es tatsächlich ein IT-Sicherheit-Incdent? Ist es ein Vorfall im eigenen Verantwortungsbereich? Wie ist die Qualität der Meldung, ist sie vertrauenswürdig? Was sind die Auswirkungen? (Schaden, Kolateralschaden, Ausbreitungsgeschwindigkeit) Welche Ressourcen und Fähigkeiten brauche ich, um den Vorfall zu bearbeiten? 12

13 13

14 Basisinformation des Vorfalls Incidentbeschreibung: Wann? Was? Wie? Warum passierte der Incident? Incidentkategorie, Auswirkungen, Ergebnis der Incident Response Maßnahmen. 14

15 Kategorien Missbrauch von Inhalten Schadcode Ausspähung von Daten Eindringversuche und erfolgreiches Eindringen in System und Netze Verlust der Verfügbarkeit Betrug Klassifizierung Priorität Schweregrad (Severity) 15

16 Überwachungssysteme (u.a. IDS, IPS, Netflow) Informationen zu IP-Addressen mit Bezug zum Vorfall, Zusammenhänge mit bekannten Signaturen oder Filtern. Referenz zu anderen Vorfällen Ist diese Art von Incident bereits bekannt? Gibt es bereits Meldungen aus dem betroffenen System? Gibt es Informationen, die die Lösung des Vorfalls beschleunigen? Andere Quellen Relevante Logdaten, Informationen von Partnern, Offene Quellen. 16

17 Schadsoftware (z.b.würmer, Viren, Backdoor, Trojaner etc.), Unbefugtes Eindringen in Netzwerke und/oder Systeme, Allgemeiner Diebstahl, Verlust und Zerstörung von Eigentum (auch geistiges Eigentum oder Daten), Ausnutzen von Sicherheitsschwachstellen, Unbefugter Zugang zu Informationen, Veränderung von Systemen oder Daten und / oder Schäden, Einschränkung von Diensten (Denial of Service), Veränderung oder Zerstörung von Sicherheitssystemen. 17

18 Auswerten der Daten Entfernen der Ursachen und Wiederherstellen Untersuchen von Lösungsmöglichkeiten Umsetzen der Maßnahmen Vorschlag für Maßnahmen 18

19 Erkennung und Meldung Informationsgewinnung und Bewertung Alarmierung Incident Response Informationsauswertung Incidentanalyse Maßnahmen erarbeiten und umsetzen Lessons Learned Klassifizierung Kategorisierung Priorisierung 19

20 National Institut of Standards and Technology - (NIST) SP Rev. 2 European Network and Information Security Agency (ENISA) CERT/CC (Carnegie Mellon University Software Engineering Institute) ISO/IEC Trusted Introducer (Géant) RFC (diverse) 20

21 Franz Lantenhammer Oberstleutnant Dipl.-Ing., CISSP Leiter CERTBw 21