CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes Unternehmen auf?

Transkript

1 CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes Unternehmen auf? Vortragender: Christian Proschinger

2 Buzzword Bingo IRT CERT CIRT Security Incident Management CSIRT ITIL ISO Incident Management RTFM Security Incident Capabilities RFC 2350 Problem Management CIA Trusted Introducer Constituency TF-CSIRT FIRST CMU ENISA

3 Wer sind wir? CERT.at das nationale Computer Emergency Response Team Ansprechpartner für IT Sicherheit im nationalen Umfeld Zielgruppe: österreichische IT Security-Teams und lokale CERTs Vernetzung von und mit anderen CERTs, Sicherheitsteams (weltweit) Koordinationsstelle Initiative von Nic.at (österreichische Domain Registry) GovCERT das Government Computer Emergency Response Team Zielgruppe: öffentliche Verwaltung und kritische Informationsinfrastruktur Kooperation zwischen Bundeskanzleramt und CERT.at

4 Was tun wir? Informationsverteilung Warnungen Empfehlungen Aufbereitung von Sicherheitsinformationen Vorfallskoordination Unterstützung bei Sicherheitsvorfällen Analyse Task-Forces Clearingstelle Plattform für Vernetzung der IT-Security Experten in Österreich Unterstützung beim Aufbau von CERTs Lagebild

5 CERT Entwicklung

6 CERT Entwicklung

7 Mögliche Services von CERTs Quelle:

8 Die Pflicht Security Incident-Handling Triage Liegt ein Security-Incident vor? Sind wir zuständig? Bewerten und Priorisieren. Analyse des Vorfalls Ergreifen, Vorschlagen, Veranlassen von Maßnahmen Durchführung und Wirksamkeit kontrollieren Nachbereitung

9 Die Kür Analog zu Nebengeschäften der Feuerwehr Vermeidung von Vorfällen Mechanismen zur Erkennung Vorbereitung von Gegenmaßnahmen Organisieren von Ansprechpersonen Öffentlichkeitsarbeit Beratung

10 Warum ein CERT fürs eigene Unternehmen Zentrale Koordination von Sicherheitsvorfällen Sachkundige Behandlung von Sicherheitsvorfällen Tatsächliche Behebung Richtige Beweissicherung Unterstützung der Benutzer/Fachabteilungen Raschere Wiederherstellung Schadensreduzierung State-of-the Art Verbesserung der Sicherheits-Awareness im Unternehmen Nach außen sichtbare Ansprechstelle Einfachere Zusammenarbeit bei Sicherheitsvorfällen mit anderen Institutionen

11 Teilnehmer identifizieren Wichtige Personen im Unternehmen IT-Betrieb IT-Leiter CSO, CISO Risiko Manager Notfallsmanager Revision Geschäftsführung Pressestelle Wichtige Personen/Organisationen außerhalb Andere Teams in gleicher Branche - Erfahrungsaustausch Andere Teams - Unterstützung für Aufbau, Akkreditierung

12 Constituency Wen vertrete ich als Ansprechstelle für Sicherheitsvorfälle? Wem biete ich meine Services an? Klientel, Zielgruppe Vorsicht bei Begriff Kunde Mögliche Eingrenzung Unternehmen die das CERT vertritt Services für Unternehmen die das CERT vertritt AS-Nummer

13 Mission Statement Klare Definition der Aufgaben Kernaktivitäten Abstimmung mit Management Elevator Pitch 30s-2min Quelle:

14 Name des Teams Aussagekräftiger Name Zielgruppe Art International Abkürzung CERT CSIRT IRT CIRT SERT Computer Emergency Response Team Computer Security Incident Response Team Incident Response Team Computer Incident Response Team Security Emergency Response Team

15 Kritische Erfolgsfaktoren Quelle: Projekt CERT Niedersachsen [2005]; Dr. K.-P. Kossakowski

16 Organisationsstruktur Kernteam Virtuelles Team 1 Teamleiter 1 Teamrepräsentant Fachexperten Je nach Services Externer Expertenpool Einbettung in Krisenorganisation Lenkungsgremien (Teamleiter, IT-Leiter, CSO, ) Weisungsrecht ja/nein

17 Beispiele Organisatorische Einbettung Geschäftsführung Geschäftsfstührung CERT Information Security Management CERT Revision IT Abteilung Fachbereich Fachbereich IT Abteilung Fachbereich Fachbereich Geschäftsführung Geschäftsführung ISM & CERT Information Security Management IT Abteilung Fachbereich Fachbereich IT Abteilung Fachbereich Fachbereich CERT

18 Finanzierungsmodell Langfristige Absicherung erforderlich Finanzierung durch Mutterunternehmen Servicegebühren Mitgliedschaft Business Case planen Kosten (inkl. Reisekosten, Fortbildung) Eventuelle Kostenersparnis aufzeigen Skaleneffekte Qualitätsverbesserung Schadensreduzierung

19 Services definieren Quelle:

20 Was ist Security Incident Management Quelle:

21 Security Incident Handling Quelle:

22 Security Incident Management umsetzen Prozesse im Team definieren und dokumentieren Ticketing System verwenden Bestehendes System Autarkes System Existieren schon Prozesse im Unternehmen (z.b. IT Infrastructure Library) Service Desk Incident Management Prozess Problem Management Prozess Vorsicht bei ITIL: Incident!= Security Incident

23 Beispiel Vulnerability Management Patch Management Sicherheit Funktion Stabilität Vulnerability Management Patch Management Vulnerability Management Patch Workaround Konfigurationsänderung Designänderung

24 Beispiel Vulnerability Management Information Advisories CERT Service Ansprechpartner CERT Service Gegenmaßnahme Patch Workaround Konfiguration Plan Do Act Check Kennzahlenbericht an Management Audit Vulnerability Scans CERT Service

25 Sichtbarkeit und Qualitätssicherung Europa Trusted Introducer listed accredited International Forum of Incident Response and Security Teams Full Member Akkreditierung mit Site-Visit 2 unterstützende Teams

26 Sichtbarkeit und Qualitätssicherung Aussperren von Blackhats Verifizierte und aktualisierte Kontaktdaten Geschlossene Mailing- und Diskussionslisten Regelmäßige Meetings Trusted Introducer TF-CSIRT ca. 4x im Jahr in Europa FIRST Technical Symposium ca. 4x pro Jahr weltweit Annual FIRST Conference

27 Diskussion und Fragen? Woher beziehen Sie aktuell Informationen Wie behandeln Sie Sicherheitsvorfälle aktuell?

28 Literatur Handbook for Computer Security Incident Response Teams (CSIRTs) 2 nd Edition April 2003 Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, Mark Zajicek State of the Practice of Computer Security Incident Response Teams (CSIRTs) October 2003 Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek Defining Incident Management Processes for CSIRTs: A Work in Progress October 2004 Chris Alberts, Audrey Dorofee, Georgia Killcrece, Robin Ruefle, Mark Zajicek Einrichtung eines CSIRT Schritt für Schritt 2006 ENISA