SWITCH-CERT Christoph Graf Head of Network Security SWITCH <graf@switch.ch> 2004 SWITCH
Begriffe CERT: Computer Emergency Response Team Generische Begriffsbezeichnung für Computersicherheitsteams Aber: Begriff registriert beim U.S. Patent and Trademark Office CSIRT: Computer Security Incident Response Team Alternative generische Begriffsbezeichnung für Computersicherheitsteams, oft auch nur: IRT Umgangssprachlich wird häufiger der Begriff CERT anstelle von CSIRT verwendet... Hauptsache CERT und CSIRT klingen identisch 2004 SWITCH 2
CSIRT - die Anfänge Erste gröbere Vorfälle Der Robert Morris Internet Wurm (Nov. 1988) CERT/CC (CERT Co-ordination Centre) Gegründet 1988 durch DARPA (Defense Applied Research Projects Agency, USA) Anlaufstelle für Sicherheitsfragen in den USA Dienstleistungszentrum FIRST (Forum of Incident Response and Security Teams) gegründet 1990 durch 12 IRTs, heute über 100 Mitglieder Vision: (...) Membership in FIRST enables incident response teams to more effectively respond to security incidents by providing access to best practices, tools, and trusted communication with member teams. Selbsthilfeorganisation 2004 SWITCH 3
CSIRT - typische Tätigkeiten Proaktive Tätigkeiten Aufbau und Pflege guter Kontakte innerhalb des eigenen Kundenkreises, sowie zu relevanten Teams ausserhalb (ISPs, Hersteller, andere Teams) Information des eigenen Kundenkreises über Risiken Generelle Massnahmen zur Förderung der Sicherheitskultur Reaktive Tätigkeiten (incident handling/response) Ein einfacher Zugang zum gesamten Kundenkreis für die Meldung sicherheitsrelevanter Vorfälle Warnungen an Quellen und Ziele von Hackern Diskussion neuer Auffälligkeiten und Trends mit anderen Teams Post-aktive Tätigkeiten Erkennen neuer Trends und deren Bedrohungen Neue Erkenntnisse bekannt machen 2004 SWITCH 4
CSIRT-Szene Europa EuroCERT (1998-1999) Pilotdienst TERENA (Trans-European R&E Networking Association) Ein europäisches CERT/CC Dienstleistungszentrum Pilot aus Mangel an Unterstützung abgebrochen TF-CSIRT TERENA Task Force seit 2000 Forum für CSIRTs: Info- und Erfahrungsaustausch Aufbau von Pilotdiensten, Entwicklung von Standards Aufbauhilfe für neue Teams und Kurse für neue Mitarbeiter Hat Bedeutung über die akademische Welt hinaus erlangt Trusted Introducer (seit Herbst 2000) TF-CSIRT Pilotdienst: abgespecktes EuroCERT Akkreditierung und Publikation europäischer IRTs Hilfsmittel für den Aufbau vertrauenswürdiger Kontakte 2004 SWITCH 5
SWITCH-CERT (1) Kundenkreis (Constituency) Netzwerkkunden von SWITCH Autorität Keine formelle Autorität über den eigenen Kundenkreis Dienstleistungen Incident Handling ( Koordination / Tracking ) Incident Response ( Unterstützung bei Vorfällen / Datenanalysen ) Mailingliste für Sicherheitsbulletins. Hauptquellen: Hersteller, Sicherheitsteams Geschlossene Mailingliste als Diskussionsplattform Periodische Sicherheits-Workshops in Zusammenarbeit mit unseren Kunden: Förderung der Awareness, des Info-Austausches und der Zusammenarbeit 2004 SWITCH 6
SWITCH-CERT (2) Entwicklung/Meilensteine 1995: Start SWITCH-CERT 1996: FIRST liaison member 1998: Vollmitglied FIRST 2001: Akkreditierung Trusted Introducer 2003: Gründungsmitglied swirt.ch: Swiss Computer Incident Response Security Teams, Forum der FIRST Mitglieder in der Schweiz 2004: Erbringung von CERT-Dienstleistungen im Rahmen MELANI (im Aufbau) 2004 SWITCH 7
SWITCH-CERT - MELANI Rolle CERT in MELANI Typische Tätigkeiten eines CSIRT Proaktiv: Aufbau Vertrauensbasis, Analyse der Bedrohungslage, zielgruppengerechte Information Reaktiv: Entgegennahme von Meldungen, Unterstützung bei Vorfällen Post-aktiv: lessons learned, Neubeurteilung der Bedrohung SWITCH bringt mit Langjährige Erfahrung mit CSIRT-Betrieb im akademischen Umfeld Gute internationale Vernetzung (FIRST, TF-CSIRT) Erfahrung mit Service au publique Dienstleistungen (Domain- Namen Registration) Unabhängigkeit, not-for-profit 2004 SWITCH 8
SWITCH-CERT - Landkarte Peer Netzwerke TERENA FIRST CERT xy Hersteller SWITCH-CERT MELANI Kundenkreis MELANI security@ security@ security@ security@ security@ Lagezentrum CERT ISP CERT YZ Kundenkreis SWITCH 2004 SWITCH 9
Referenzen/Links CSIRT Tätigkeiten: RFC2350 / BCP21 SWITCH-CERT: http://www.switch.ch/security MELANI (Melde- und Analysestelle Informationssicherheit): http://www.isb.admin.ch/internet/sicherheit/00791/ FIRST (Forum of Incident Response and Security Teams): http://www.first.org/ TERENA (Trans-European Research and Education Networking Organisation): http://www.terena.nl/ TF-CSIRT (TERENA Task Force CSIRT): http://www.terena.nl/tech/task-forces/tf-csirt/ CERT/CC: http://www.cert.org/ 2004 SWITCH 10