Без темы
<<  Создание молодёжной инициативной группы по противодействию угрозам безопасности России в информационной сфере Создание эффективного интернет-магазина: взгляд с «обеих сторон баррикад»  >>
Место ЦРКИБ в организации
Место ЦРКИБ в организации
Типовый алгоритм реагирования
Типовый алгоритм реагирования
Картинки из презентации «Создание службы реагирования на компьютерные инциденты безопасности» к уроку обществознания на тему «Без темы»

Автор: Yuri Demchenko. Чтобы познакомиться с картинкой полного размера, нажмите на её эскиз. Чтобы можно было использовать все картинки для урока обществознания, скачайте бесплатно презентацию «Создание службы реагирования на компьютерные инциденты безопасности.ppt» со всеми картинками в zip-архиве размером 235 КБ.

Создание службы реагирования на компьютерные инциденты безопасности

содержание презентации «Создание службы реагирования на компьютерные инциденты безопасности.ppt»
Сл Текст Сл Текст
1Создание службы реагирования на 35Workshop. Establishing CSIRT -
компьютерные инциденты безопасности. Silk Organisational and Operational issues.
security workshop 2004 21-24 июня, 2004 36Веб-страничка. Веб-страничка ЦРКИБ
yuri demchenko, university of amsterdam должна предоставлять необходимую
<demch@science.Uva.Nl> информацию для пользователей и других
2Содержание. Основные термины Центры центров Обслуживаемая группа пользователей
реагирования на компьютерные инциденты (constituency) Как контактировать ЦРКИБ (и
безопасности Функции, формы и структуры форма заявки об инциденте, если такая
Организационные вопросы Подготовка имеется) Рекомендации по обеспечению
бизнес-плана Создание и становление Центра безопасности и источники информации
Операционные вопросы Профилактические Политика безопасности организации или
мероприятия Реагирование на инциденты обслуживаемой группы пользователей и
Информационная деятельность Центра другие регламертирующие материалы FAQ:
Оповещения об уязвимостях и Рекомендации Часто задаваемые вопросы Веб-сайт ЦРКИБ и
по безопасности. Slide_2. June 21-24, 2004 информация должны быть защищены
Silk Security Workshop. Establishing CSIRT Веб-страничка должна быть подписана
- Organisational and Operational issues. цифровой подписью PGP и открытый ключ
3Центры реагирования на компьютерные указан. Slide_36. June 21-24, 2004 Silk
инциденты безопасности. Computer Emergency Security Workshop. Establishing CSIRT -
Response Team – CERT Центр Реагирования на Organisational and Operational issues.
Чрезвычайные Компьютерные Ситуации 37Формы для заявок об инцидентах.
Computer Security Incident Response Team - Преимущества Заявители могут ввести
CSIRT Центр Реагирования на Компьютерные необходимые данные для облегчения
Инциденты Безопасности – ЦРКИБ Incident (автоматической) обработки Обеспечивает
Response Capability – IRC Служба полноту и корректность информации
реагирования на компьютерные инциденты Возможные проблемы Может обескуражить
безопасности Другие варианты пользователей сложностью обращения
русско-язычного названия Центр или Служба Рекомендация: Должна быть возможность
реагирования на инциденты безопасности в чисто текстовой заявки Возможные формы
Информационных и телекоммуникационных Веб-формы с почтовой отсылкой (mailto:),
системах. Slide_3. June 21-24, 2004 Silk серверным скриптом (CGI) или JSP
Security Workshop. Establishing CSIRT - Телефонный скрипт или форма для ввода в БД
Organisational and Operational issues. Формат данных IODEF (Incident Object
4Компьютерный инцидент безопасности. Description and Exchange Format) В
Компьютерный инцидент безопасности Любое основном ориентирован на
реальное или предполагаемое событие, автоматизированные системы, но может
имеющее отношение к безопасности использоваться и для форматирования данных
компьютерной системы или компьютерной сети от веб-форм. Slide_37. June 21-24, 2004
Или согласно более формальной Silk Security Workshop. Establishing CSIRT
терминологии, информационной или - Organisational and Operational issues.
телекоммуникационной системы Примеры 38Программные средства. Операционные
компьютерных инцидентов Попытка (успешная системы и базовое/офисное программное
или неудачная) получения обеспечение Средства для отслеживания и
несанкционированного доступа к системе или обработки инцидентов (СООИ) Инструментарий
данным Нежелательное прерывание/нарушение для работы по расследованию инцидентов
нормальной работы Неавторизированное Мониторинг сети и делопроизводства.
использование системы для обработки или Slide_38. June 21-24, 2004 Silk Security
хранения данных Изменение конфигурации или Workshop. Establishing CSIRT -
настроек программного обеспечения без Organisational and Operational issues.
указания, подтвержденного согласия или 39Операционные системы и базовое ПО.
уведомления пользователя. Slide_4. June Безопасность Операционой среды
21-24, 2004 Silk Security Workshop. определяется уровнем обслуживания Четко
Establishing CSIRT - Organisational and отслеживать и применять все обновления и
Operational issues. патчи, касающиеся безопасности
5Организационные структуры ЦРКИБ. Использовать версии Windows не менее, чем
Возможные организационные структуры Группа Windows XP Professional Избегать
безопасности Распределенный Центр использования почтовых программ,
реагирования на компьютерные инциденты интегрированных с офисными приложениями,
Централизованная Служба/Центр как например MS Outlook Более безопасным
Комбинированная Служба/Центр является использование Netscape Mail
Координирующий Центр Другие формы UNIX/Linux среда является потенциально
Аналитический Центр Служба реагирования на более безопасной. Slide_39. June 21-24,
уязвимости и компьютерные инциденты 2004 Silk Security Workshop. Establishing
безопасности поставщиков оборудования и CSIRT - Organisational and Operational
ПО. Slide_5. June 21-24, 2004 Silk issues.
Security Workshop. Establishing CSIRT - 40Требования к средствам отслеживания и
Organisational and Operational issues. обработки инцидентов (СООИ). Incident
6Группа безопасности. Использует Handling System (IHS) + Incident Tracking
существующий ИТ-персонал Формально не System (ITS) = Система отслеживания и
является ЦРКИБ/CSIRT, но отвечает за обработки инцидентов (СООИ) Должна быть
безопасность сети и компьютерных систем сохранена вся касающаяся инцидента
Может быть первым шагом к созданию ЦРКИБ информация Исходная и обнаруженная
Реагирование на КИБ в ограниченном обьеме информация не должна быть потеряна
Действия, относящиеся в основном к работам Исходная заявка, контакты, время заявки и
на собственном оборудовании и касающиеся инцидента Тип инцидента, тип системы, ее
восстановления и поддержания рабочего конфигурация, лог-файлы/улики Уникальная
состояния сети и компьютерных систем Может идентификация каждого инцидента Должна
быть вовлечена в координированное быть возможность записи полной истории
противодействие активным атакам, каждого инцидента Все коммуникации,
устранение уязвимостей, или расследование исходная информация/улики, извлеченная
КИБ в составе других ЦРКИБ Часто в список информация и предпринятые действия
задач Группы безопасности входит Позволять нескольким членам ЦРКИБ работать
поддержание безопасности сети, VPN, над инцидентом одновременно Формат и
сетевых экранов, IDS (Intrusion Detection уровень безопасности/целосности хранения
System) Проблемы Перечень и уровень услуг данных должен быть достаточным для
зависит от опыта персонала Отсутствие использования в дисциплинарных или
общей политики, возможно дублирование судебных расследованиях. Slide_40. June
работ разными Группами. Slide_6. June 21-24, 2004 Silk Security Workshop.
21-24, 2004 Silk Security Workshop. Establishing CSIRT - Organisational and
Establishing CSIRT - Organisational and Operational issues.
Operational issues. 41Внедрение СООИ. Баланс между
7Распределенный Центр. (Внутренний) автоматизацией и ручными процессами Выбор
распределенный Центр реагирования состоит зависит от предполагаемой загрузки
из персонала различных подразделений, Простейшее решение – использование
который может иметь назначенные функции почтовых ящиков с множественным доступом
или выполнять определенные функции по на основе протокола IMAP Доступно во всех
очереди Может иметь минимальный постоянный распространенных почтовых программах Pine,
состав, например менеджер и технический mutt, nmh, Netscape, Eudora, Outlook,
координатор Менеджер распределенного Outlook Express, Lotus Использование БД
Центра обычно подчинен высшему менеджеру упрощает отчетность и анализ трендов
Имеет формализованные процедуры и политику Использование форм и автоматизация
реагирования на КИБ Все заявки об сохраняют время персонала и исключают
инцидентах должны поступать в центральный случайные ошибки Поиск нужной информации и
офис Центра, который принимает решение о контактов Генерирование стандартных
дальнейшей обработке заявок Как правило запросов и сообщений
имеет централизованную систему обработки Оповещение/напоминание, когда очередной
инцидентов Имеет полные полномочия для инцидент требует действий Интеграция с
анализа безопасности в организации и системами обнаружения вторжений (IDS –
распределенные полномочия реагирования на Intrusion Detection System) и
инциденты Расследование и устранение использование лог-файлов сетевых экранов.
последствий производятся на местах Slide_41. June 21-24, 2004 Silk Security
Выпускает рекомендации по безопасности, Workshop. Establishing CSIRT -
информационные материалы и вносит Organisational and Operational issues.
предложения по совершенствованию политики 42Выбор ПО СООИ. Обычно в арсенале ЦРКИБ
безопасности, а также разрабатывает используется множество средств Собственные
критерии обнаружения вторжений при помощи БД, средства службы поддержки (helpdesk),
IDS Целевая группа пользователей включает средства контроля заявок Специальные
всю или часть организации. Slide_7. June средства для поддерки расследования
21-24, 2004 Silk Security Workshop. инцидентов $$$$$ - Интегрированные
Establishing CSIRT - Organisational and средства стоят больших денег Принимать во
Operational issues. внимание Необходимую квалификацию
8Централизованная служба реагирования. работников Обеспечение безопасности
Централизованная служба реагирования имеет удаленного доступа Не существует
постоянный состав и несет полную совершенного решения Начинать с
ответственность за реагирование на все минимальной конфигурации и интегрировать/
виды инцидентов безопасности ИТС, включая адаптировать новые средства в процессе
анализ, расследование и устранение работы Средства могут меняться – форматы и
последствий Подченен высшему менеджменту и процедуры должны по мере возможности
имеет исключительные полномочия в оставаться. Slide_42. June 21-24, 2004
отношении реагирования на КИБ и соблюдения Silk Security Workshop. Establishing CSIRT
политики безопасности Имеет - Organisational and Operational issues.
формализованные процедуры и политику 43Автоматический мониторинг СООИ.
реагирования на КИБ Имеет полномочия Информационные потоки и обработка
выпускать рекомендации по улучшению информации в СООИ должны быть подвержены
безопасности и реализовывать необходимый полному мониторингу Лог-мониторинг –
комплекс мер по их внедрению Включая syslog, firewall, router Сетевой
установление критерией работы IDS Может мониторинг – критерии «подозрительной»
также производить расследование инцидентов активности Контроль целостности – Tripwire
на местах Централизованные службы (селективно) Мониторинг изменения
характерны как для малых организаций, так конфигурации и прав доступа к основным
и для больших непроизводственных компонентам сети ЦРКИБ Периодический
организаций типа университетов, с контроль/сканирование открытых портов
однородной организационной структурой. сети. Slide_43. June 21-24, 2004 Silk
Slide_8. June 21-24, 2004 Silk Security Security Workshop. Establishing CSIRT -
Workshop. Establishing CSIRT - Organisational and Operational issues.
Organisational and Operational issues. 44Средства для сбора информации при
9Координирующий центр. Координирующий расследовании инцидентов. Имеются
Центр, как правило, обслуживает несколько хорошо известных списков и
распределенные, разнообразные группы архивов свободно распространяемых средств
пользователей Главными задачами для сбора информации и востановления
координирующего Центра являются системы при расследовании инцидентов Архив
координация действий по противодействию средств для работы с инцидентами и защиты
широкомасштабным атакам, уcтранению компьютерных систем -
критических уязвимостей, разработка и http://www.securityfocus.com/tools
внедрение стандартов Имеет формализованные Обширнейшая пополняемая коллекция средств
процедуры и политику реагирования на КИБ, с аннотациями и рейтингом Включает
а также централизованную Систему коммерческие средства CHIHT (Clearinghouse
отслеживания и обработки инцидентов Часто for Incident Handling Tools) –
выступает как независимая сторона в http://chiht.dfn-cert.de/ Список
расследовании масштабных инцидентов или обслуживается и содержит краткие аннотации
проведении скоординированных акций Может о средствах Сбор улик Исследование улик
иметь свои службы расследования Восстановление системы Средства
инцидентов, тестирования уязвимостей, отслеживания и обработки инцидентов
продуктов безопасности, а также может Безопасный удаленный доступ
разрабатывать специальные средства Имеет Профилактические средства. Slide_44. June
постоянный состав и центральный офис 21-24, 2004 Silk Security Workshop.
Примерами координирующих Центров являются Establishing CSIRT - Organisational and
CERT/CC, национальные ЦРКИБ, отраслевые Operational issues.
или глобальных сетевых операторов таких 45Оборудование. Сетевое оборудование
как BT, KPN, а также транснациональных должно обеспечивать безопасный периметр
корпораций. Slide_9. June 21-24, 2004 Silk для внутренней сети ЦРКИБ Удаленный доступ
Security Workshop. Establishing CSIRT - только посредством защищенных туннелей или
Organisational and Operational issues. VPN Удаленное чтение почты только
10Другие виды Центров реагирования. посредством VPN, SSH, или Webmail c HTTPS
Аналитические центры Могут быть частью Персональные компьютеры/ноутбуки для
услуг предоставляемых производителями персонала Ноутбуки должны иметь апаратные
средств обеспечения безопасности, как средства авторизации доступа Защищенные
например ISS – Internet Security System – серверы Для электронной почты, СООИ,
http://xforce.iss.net/xforce/alerts - веб-сайт Отдельные средства архивирования
производитель средств обеспечения с шифрованием данных Отдельная подсеть для
безопасности Symantecs - тестирование продуктов, патчей Отключается
http://securityresponse.symantec.com/ - от основной сети на время тестирования
производитель антивирусного ПО и средств Специальное оборудование для судебных
обеспечения безопасности SecurityFocus - (forensic) расследований. Slide_45. June
http://www.securityfocus.com/incidents 21-24, 2004 Silk Security Workshop.
Предоставляет широкий набор информационных Establishing CSIRT - Organisational and
и аналитических услуг Открытый форум для Operational issues.
обмена информацией об инцидентах в 46Меры безопасности (1). Сеть и серверы
реальном времени Службы реагирования на ЦРКИБ должны быть защишены Физически:
уязвимости и компьютерные инциденты замки, охрана, сигнализация, UPS,
безопасности поставщиков оборудования и ПО кондиционеры Операционные системы:
Cisco PSIRT - инсталяция и обслуживание Периодическое
http://www.cisco.com/go/psirt Microsoft сохранение всей системы (дублирование и
Security Response - архивирование) Возможность быстрого
http://www.microsoft.com/security/. восстановления системы Контроль доступа:
Slide_10. June 21-24, 2004 Silk Security процедура добавления и исключения
Workshop. Establishing CSIRT - пользователей Правила/политика должны быть
Organisational and Operational issues. документированы Сотрудники должны быть
11Типовые услуги ЦРКИБ. Реагирование на ознакомлены под роспись Контроль
компьютерные инциденты безопасности Эти соответствия действий и привилегий
услуги инициируются заявкой о случившемся сотрудников и выявление возможных
или предполагаемом инциденте, обнаруженной нарушений Удаление логинов сотрудников
уязвимости, предупреждением о начавшейся после их ухода Полезно иметь единую
атаке, или обнаруженной подозрительной систему контроля доступа. Slide_46. June
активностью Профилактика возможных угроз и 21-24, 2004 Silk Security Workshop.
уязвимостей Эти услуги включают меры по Establishing CSIRT - Organisational and
устранению известных уязвимостей, Operational issues.
предупреждению и подготовке к возможным 47Меры безопасности (2). Контроль
инцидентам с целью уменьшения изменения конфигурации: мониторинг
нежелательных последствий в будущем Разработка/доработка – только на отдельной
Управление качеством услуг безопасности системе Обновление системы должно
Эти услуги могут предоставляться ЦРКИБ полностью отражаться в лог-файле и старая
независимо или совместно с другими система дублироваться Простейшее решение
службами, основываясь на опыте Центра в использует RCS/SCSC и ”copy” в Makefile
работе с реальными инцидентами и обширной Только физический доступ, или возможность
информацией по безопасности компьютерных удаленного доступа Мониторинг Один или
систем. Slide_11. June 21-24, 2004 Silk несколько центральных syslog-хостов –
Security Workshop. Establishing CSIRT - защищенных и с большим дисковым
Organisational and Operational issues. пространством Использование SNMP и
12Реагирование на компьютерные инциденты настройка SNMP traps Система
безопасности. Оповещение и предупреждение периодического оповещения или по-событиям
об инцидентах, уязвимостях и опасностях Использование NTP для нотаризации логов и
Работа с инцидентами Анализ инцидентов событий Аудит: независимая третья сторона.
Непосредственное реагирования на инциденты Slide_47. June 21-24, 2004 Silk Security
Поддержка реагирования на инциденты Workshop. Establishing CSIRT -
Координация реагирования на инциденты Organisational and Operational issues.
Устранение последствий и восстановление 48Процедуры. До возникновения инцидентов
системы Работа с уликами и извлечение Установление системы реагирования и
информации об инциденте Работа с профилактика Информационная деятельность
уязвимостями и потенциальными угрозами Центра Реагирование на инциденты Меры
Анализ Реагирование Координация. Slide_12. после ликвидации инцидентов Отчеты и
June 21-24, 2004 Silk Security Workshop. анализ. Slide_48. June 21-24, 2004 Silk
Establishing CSIRT - Organisational and Security Workshop. Establishing CSIRT -
Operational issues. Organisational and Operational issues.
13Профилактика возможных угроз и 49Политики и планы. Политика
уязвимостей. Информационные услуги ЦРКИБ безопасности Определяет, что требуется,
Анализ информационных материалов и позволено и допустимо Определяет характер
выработка рекомендаций Распространение реагирования и уполномоченные органы План
внешних информационных материалов Аудит на случай инцидента (или чрезвычайной
безопасности и оценка рисков Обслуживание ситуации) Какая поддержка предоставляется,
средств поддержания безопасности сети и кому докладывать и кто осуществляет
систем Разработка специализированных поддержку/реагирование Политика и план
средств защиты Услуги по обнаружению реагирования на инциденты Определяет на
вторжений и выработка критериев для работы какие инциденты и как осуществляется
автоматизированных систем обнаружения реагирование, с каким приоритетом и в
вторжений. Slide_13. June 21-24, 2004 Silk какие сроки RFC 2350 – пример такого
Security Workshop. Establishing CSIRT - плана/политики в приложении. Slide_49.
Organisational and Operational issues. June 21-24, 2004 Silk Security Workshop.
14Управление качеством услуг Establishing CSIRT - Organisational and
безопасности. Анализ рисков Планирование Operational issues.
мер по обеспечению непрерывности 50Политика реагирования на инциденты.
бизнес-процессов и восстановлению в случае Типы инцидентов и уровень поддержки В
катастроф и других чрезвычайных ситуаций форме списка категорий инцидентов в
Консультации по вопросам безопасности порядке приоритета Взаимодействие,
Создание обстановки осведомленности в сотрудничество и порядок предоставления
отношении политики безопасности, доступных информации Базируется на Политике
услуг и процедур реагирования на безопасности организации(й) Тип
инциденты, чрезвычайные происшествия информации, ее доступность – кому и в
Образование и тренинг Оценка и каких случаях Коммуникации и
сертификация оборудования и ПО. Slide_14. аутентификация Какие применяются средства
June 21-24, 2004 Silk Security Workshop. для защиты информации при коммуникациях,
Establishing CSIRT - Organisational and включая телефон, электронную почту, обмен
Operational issues. файлами, и др. Необходимые и
15Типовый перечень услуг различных предоставляемые средства удостоверения
ЦРКИБ. Перечень предоставляемых услуг сторон для различных типов коммуникацй.
определяется типом или организационной Slide_50. June 21-24, 2004 Silk Security
структурой ЦРКИБ Оптимальное использование Workshop. Establishing CSIRT -
персонала Например Обнаружение вторжений - Organisational and Operational issues.
более характерно для Группы безопасности 51Типы инцидентов и уровень поддержки.
чем для традиционных ЦРКИБ Образование, Угроза человеческой жизни Атаки на системы
тренинг и создание обстановки управления сетью или центральными
осведомленности – более характерны для сервисами Угроза нормальной работе
координирующих ЦРКИБ и наименее публичных сервисов Угроза разглашения
свойственны для Группы безопасности конфиденциальной информации или информации
Обобщающая Таблица соответствия услуг и используемой для управления
типов ЦРКИБ приведена в сетью/сервисами Угрозы сторонним
http://www.sei.cmu.edu/publications/docume организациям, аналогичные последним трем,
ts/03.reports/03hb001/03hb001app.html. которые исходят от базовой организации
Slide_15. June 21-24, 2004 Silk Security ЦРКИБ Всевозможные массированные атаки
Workshop. Establishing CSIRT - Угрозы, вмешательства или другие
Organisational and Operational issues. криминальные действия против
16Создания ЦРКИБ: Организационные индивидуальных пользователей Нарушение
вопросы. Начальные этап – представление индивидуального доступа на
концепции ЦРКИБ в организации Создание многопользовательских системах Инциденты с
ЦРКИБ в организации Формирование рабочих персональными системами Другие нарушения
связей Финансирование ЦРКИБ. Slide_16. местной политики безопасности. Slide_51.
June 21-24, 2004 Silk Security Workshop. June 21-24, 2004 Silk Security Workshop.
Establishing CSIRT - Organisational and Establishing CSIRT - Organisational and
Operational issues. Operational issues.
17Представление концепции ЦРКИБ. 52Профилактические мероприятия. Аудит –
Подготовка Понять необходимость службы сетей и систем – разовый (начальный) и
реагирования на компьютерные инциденты периодический Анализ рисков – рекомендации
безопасности Анализ известных инцидентов по улучшению безопасности Дублирование ПО
Соображения системных администраторов и информации – облегчает полное
Найти место для ЦРКИБ в организации восстановление Логирование –
Проанализировать положительные стороны и политика/профили, анализ, хранение
выгоды Разработать план продвижения идеи Создание безопасного периметра – сетевые
создания ЦРКИБ Заручиться поддержкой экраны, серверы, клиенты, тесты на
ключевых лиц Проанализировать возможные проникновение Регулярные обновления ПО –
возражения и препятствия Проанализировать оценка, тестирование, установка
возможную финансовую базу ЦРКИБ Этап Информирование пользователей и системных
становления Центра и нормальная работа. администраторов. Slide_52. June 21-24,
Slide_17. June 21-24, 2004 Silk Security 2004 Silk Security Workshop. Establishing
Workshop. Establishing CSIRT - CSIRT - Organisational and Operational
Organisational and Operational issues. issues.
18Место ЦРКИБ в организации. Slide_18. В 53Информация и средства. Контактные
чрезвычайной ситуации ЦРКИБ должен списки Внутренние – администраторы,
действовать независимо и иметь необходимые системные администраторы, пользователи,
полномочия Должна быть поддержка ИТ администраторы основных сервисов и систем,
персонала Баланс между независимостью и например, сетевых экранов, IDS Внешние –
возможностью привлечения дополнительных провайдеры верхнего уровня, другие Центры,
специалистов Может определяться правохранительные органы Список IP-адресов
согласованной Политикой реагирования на – создание и обслуживание Внутренний –
инциденты. June 21-24, 2004 Silk Security топология сети, распределение адресов,
Workshop. Establishing CSIRT - расположение систем Внешний – список
Organisational and Operational issues. IP-регистров, например, RIPE NCC, и
19Подготовка предложения о создании средства доступа к ним, например, WHOIS
ЦРКИБ. Предложение должно включать или веб Набор средств для сбора
Важность компьютерной безопасности для информации/улик и восстановления систем
организации Почему функции ЦРКИБ не могут Для Windows, UNIX, MacOS, др. Slide_53.
быть выполнены существующими June 21-24, 2004 Silk Security Workshop.
подразделениями Анализ слабых/уязвимых Establishing CSIRT - Organisational and
мест в организации в отношении Operational issues.
компьютерной безопасности Известные случаи 54Известность вашего ЦРКИБ. В случае
и возможные сценарии Существующая практика инцидента, ЦРКИБ вынужден будет
и известные положительные случаи работы контактировать и взаимодействовать со
ЦРКИБ в других организациях Выгоды своими пользователями, другими Центрами и
создания ЦРКИБ для организации организациями Они должны знать вас и
Проанализировать наличие других доверять – основа успешного разрешения
аналогичных служб/конкурентов инцидентов Внутренняя известность – через
Позиционирование нового ЦРКИБ в веб-страничку, политику, оповещения,
организации Подчинение и отчетность План и рекомендации, внутренние бюллетени Внешняя
предложение о финансировании. Slide_19. известность внешняя веб-страничка списки и
June 21-24, 2004 Silk Security Workshop. личные контакты среди региональных
Establishing CSIRT - Organisational and ассоциаций FIRST, TI, TF-CSIRT Директории
Operational issues. провайдеров и база данных RIPE NCC.
20Создание ЦРКИБ. Набор Slide_54. June 21-24, 2004 Silk Security
персонала/сотрудников Помещение Workshop. Establishing CSIRT -
Подключение к локальной сети и Интернет Organisational and Operational issues.
Разработка Политики безопасности и плана 55Процедуры реагирования на инциденты.
реагирования на инциденты безопасности Все стадии реагирования на инциденты
Должны быть утверждены базовой или должны быть документированы, или по
вышестоящей организацией План крайней мере, продуманы Прием заявок/жалоб
информационно-рекламной кампании План и первичная оценка Assessment and Triage –
установления контактов и работы с оценка и сортировка Документирование
правоохранительными органами Постоянный процесса обработки Сбор исходных данных,
контакт для ЦРКИБ Разработка Положение о идентификация и анализ Уведомление –
ЦРКИБ (Mission Statement) Что Центр будет начальное и по мере расследования
делать И что Центр не будет делать. Эскалация – в зависмости от категории
Slide_20. June 21-24, 2004 Silk Security инцидента или уровня поражения
Workshop. Establishing CSIRT - Сдерживание/противодействие Сбор и
Organisational and Operational issues. сохранение улик и других материалов
21Набор персонала. Какие специалисты инцидента Устранение последствий и
нужны Определяется списком услуг Центра востановление. Slide_55. June 21-24, 2004
Необходимы критические требования к Silk Security Workshop. Establishing CSIRT
персоналу (в частности, кто не может стать - Organisational and Operational issues.
членом ЦРКИБ) Персонал должен быть 56Типовый алгоритм реагирования. На
надежным Знание английского языка как примере CERT-NL
международного средства коммуникаций между http://www.surfnetters.nl/meijer/tf-csirt/
CSIRT Знание (техническое) английского orkflow/workflow.html. Slide_56. June
языка очень желательно Возможность 21-24, 2004 Silk Security Workshop.
общаться на английском – как минимум один Establishing CSIRT - Organisational and
человек ЦРКИБ должен анализировать Operational issues.
множественные материалы и публиковать 57Реагирование (1): Прием заявок и
собственные аналитические обзоры и оценка. Является ли это проблемой и как
рекомендации В случае предоставления услуг срочно требуется разрешение? Оценка
24х7 набрать нужных специалистов. согласно Политики безопасности и Политики
Slide_21. June 21-24, 2004 Silk Security реагирования на инциденты Решение
Workshop. Establishing CSIRT - принимается в соответствии с
Organisational and Operational issues. предварительно установленными критериями и
22Возможные роли в составе ЦРКИБ. Работа текущей загрузкой персонала Не все заявки
в ЦРКИБ требует энтузиазма и инициативы будут соответствовать реальным инцидентам
Базовые роли персонала Менеджер или лидер Принятая заявка направляется к
группы/центра Ассистенты и лидеры групп соответствующему специалисту или группе
Работники «горячей линии», поддержки Эта функция может быть
пользователей и анализа заявок Работа с поручена/делегирована дежурному
собственно инцидентами Проверка специалисту или службе При достаточной
уязвимостей и выработка рекомендаций тренировке и поддержке экспертной системой
Анализ улик и материалов инцидентов эту функцию может выполнять служба
Специалисты по платформам: Windows, UNIX, поддержки пользователей организации/сети
MacOS Инструктора Информационные аналитики (helpdesk, call center). Slide_57. June
Дополнительные роли Системные и сетевые 21-24, 2004 Silk Security Workshop.
администраторы Программисты и разработчики Establishing CSIRT - Organisational and
Веб-мастер(ы) Аудиторы и аналитики рисков, Operational issues.
и другие. Slide_22. June 21-24, 2004 Silk 58Реагирование (2): Документирование
Security Workshop. Establishing CSIRT - процесса. Задокументировать исходную
Organisational and Operational issues. информацию и быть готовым к
23Формирование контактов. Эффективность документированию всей последующей
работы ЦРКИБ/CSIRT зависит от наличия информации Автоматизация процесса
контактов и взаимного доверия Опубликовать документирования позволит не только
информацию о ЦРКИБ Специальная упростить работу персонала, но и повысить
веб-страничка или отдельный веб-сайт достоверность данных Цифровая подпись и
Известные директории CERT/CSIRT Членство в заверение временной квитанцией
FIRST Директория и сертификация Trusted (timestamping) Облегчает обмен информацией
Introducer (TI) Установить рабочие об инцидентах Позволяет ретроспективно
контакты с организациями и группами проанализировать процесс раследования и
публикующими Оповещения (Alert) об извлечь уроки Необходимо для судебного или
инцидентах и угрозах компьютерной дисциплинарного расследования Материалы по
безопасности Посещение регулярных возможности должны соответствовать
мероприятий и собраний CSIRT - ВАЖНО требованием, предьявляемым к судебным
TF-CSIRT совещания – 3 раза в год, открыты материалам. Slide_58. June 21-24, 2004
для членов существующих и планируемых Silk Security Workshop. Establishing CSIRT
ЦРКИБ, или специалистов, работающих в - Organisational and Operational issues.
области компьютерной безопасности FIRST 59Реагирование (3): Сбор исходных
Conference – 1 раз в год, только для данных, идентификация и анализ. Собрать и
членов FIRST или специалистов компьютерной проанализировать улики/данные об инциденте
безопасности по приглашению. Slide_23. Использовать рекомендации по сбору улик
June 21-24, 2004 Silk Security Workshop. RFC 3227 Guidelines for Evidence
Establishing CSIRT - Organisational and collection Обрабатывать и сохранять данные
Operational issues. в порядке изменчивости registers, cache
24Финансирование ЦРКИБ. Финансирование routing table, arp cache, process table,
ЦРКИБ должно быть достаточным и включать kernel statistics, memory temporary file
все затраты на нормальное функционирование systems и disk relevant remote logging and
Центра Специальная статья на посещение monitoring data physical configuration,
совещаний CSIRT TF-CSIRT – 3 раза в network topology archival media Избегать
Европе, FIRST – каждый 3-й год в Европе возможных потерь данных Не останавливать
Услуги ЦРКИБ могут быть платными или работу системы и не отключать от сети, в
хозрасчетными Плата за фактически крайнем случае, выдернуть шнур из
предоставляемые услуги Плата по подписке электрической сети По возможности иметь
Централизованное финансирование Услуги продуманную процедуру начального сбора
должны быть полными - внутренние и внешние данных Соблюдать конфиденциальность и
Использование внештатных и внешних приватность данных. Slide_59. June 21-24,
специалистов должно учитываться 2004 Silk Security Workshop. Establishing
Дополнительная информация Developing an CSIRT - Organisational and Operational
Effective Incident Handling Cost Analysis issues.
Mechanism, by David A. Dittrich; 60Реагирование (4): Уведомление. Быстрое
SecurityFocus, June 12, 2002 и корректное уведомление соответсвующих
http://online.securityfocus.com/infocus/15 лиц и служб Согласно существующему Плану
2 Incident Cost and Analysis Model Project реагирования на инциденты Использовать
http://www.cic.uiuc.edu/groups/ITSecurityW согласованные процедуры и формы
rkingGroup/archive/Report/ICAMP.shtml. уведомления Все ответственные лица должны
Slide_24. June 21-24, 2004 Silk Security быть уведомлены Раннее уведомление
Workshop. Establishing CSIRT - позволяет получить больше поддержки от
Organisational and Operational issues. команды и сотрудничающих служб/организаций
25Отчетность ЦРКИБ. Основатели и Последующие уведомления Продумано и
пользователи (constituency) обычно требуют уравновешено,без элементов паники В
отчеты Отчеты должны демонстрировать некоторых случаях подготовить заявление
полезность и эффективность Отчеты как для прессы. Slide_60. June 21-24, 2004
инструмент развития и улучшения качества Silk Security Workshop. Establishing CSIRT
услуг Открытая и позитивная информация - Organisational and Operational issues.
может быть помещена на веб Некоторые 61Реагирование (5): Эскалация. В случае
отчеты могут быть платными или по заказу необходимости привлечение внешних и
ЦРКИБ должен поддерживать обширную базу дополнительных ресурсов Информировать
как по внeтренним вопросам, так и по менеджмент для привлечение внутренних
внешним информационным материалам ресурсов Другие Центры для помощи в
Определенная информация может быть прекращении атаки и разрешении инцидента
доступна в режиме «реального времени» Согласно существующему Плану реагирования
через веб или по подписке. Slide_25. June на инциденты Уменьшает влияние стрессовой
21-24, 2004 Silk Security Workshop. ситуации на действия персонала
Establishing CSIRT - Organisational and Ответственные лица должны быть
Operational issues. информированы в случае усугубления
26Следование стандартам. Следование последствий инцидента. Slide_61. June
стандартам и общепринятой практике в 21-24, 2004 Silk Security Workshop.
области компьютерной безопасности и Establishing CSIRT - Organisational and
реагирования на компьютерные инциденты Operational issues.
безопасности яляется важным критерием 62Реагирование (6): Противодействие.
работы и успешного развития Центра Ограничить дальнейший ущерб вследствии
Существование других провайдеров (продолжающегося) инцидента Действия
аналогичных услуг и реальность конкуренции должны быть согласованы/оговорены для
за пользователей Сотрудничество с другими типовых инцидентов Позволяет быстрое
Центрами на международном уровне реагирование Особо важно для внеурочных
Реагирование на некоторые инциденты может ситуаций Иметь четкое представление о
требовать участие Центров из многих стран ключевых точках для претотвращения
Знание и использование технологий и нежелательной активности Внутри сети – для
средств позволяет повысить эффективность изоляции пораженных систем Внутри сети –
работы при меньшем числе персонала Как для предотврашения исходящих атак,
минимум, следовать общепринятой практике например, сетевой экран или входной
для ЦРКИБ/CSIRT Например, RFC 2350 и RFC маршрутизатор, почтовый сервер Вне сети –
2196 и рекомендаций Trusted Introducer. для предотвращения внешних атак, например,
Slide_26. June 21-24, 2004 Silk Security шлюз провайдера. Slide_62. June 21-24,
Workshop. Establishing CSIRT - 2004 Silk Security Workshop. Establishing
Organisational and Operational issues. CSIRT - Organisational and Operational
27Сертификация/аудит ЦРКИБ. Определенный issues.
вид сертификации Центра нужен для 63Реагирование (7): Сбор и сохранение
приобретения определенного статуса и улик. В случае предполагаемых
достижения признания как внутри дисциплинарных или судебных наказаний
организации/страны или целевой группы обеспечить сбор и сохранение улик и других
пользователей, так и в международной сети данных об инциденте Список возможных
CSIRT Существующие возможности В первую наказаний для различных категорий
очередь, базовая организация и инцидентов или атак должен быть
национальные органы Членство в FIRST подготовлен заранее Средства для сбора
Необходима рекомендация от действительного улик и данных должны быть в наличии
члена FIRST, но нет формальной процедуры Отдельный компьютер или загружаемый CD
проверки и контроля деятельности Центра Руководство и инструкции для пользователей
Ежегодные взносы Trusted Introducer и/или пострадавших должны быть готовы для
TF-CSIRT Включение нового Центра в типовых категорий инцидентов Действовать в
«сеть-доверия» происходит на основании соответствии с RFC 3227 Evidence
многоступенчатой формальной процедуры collection Сохранять данные в порядке
проверки/сертификации ЦРКИБ «Сеть доверия» изменчивости Все собранные данные должны
обслуживается и члены периодически быть помечены в порядке сбора и во
контролируются Стоимость обслуживания – времени. Slide_63. June 21-24, 2004 Silk
720 EUR. Slide_27. June 21-24, 2004 Silk Security Workshop. Establishing CSIRT -
Security Workshop. Establishing CSIRT - Organisational and Operational issues.
Organisational and Operational issues. 64Реагирование (8): Устранение
28Практические занятие и домашнее последствий и восстановление. После сбора
задание. Практические занятия будут данных последствия инцидента должны быть
основаны на информации, подготовленной устранены и нормальная работа должна быть
участниками до начала тренинга Описать восстановлена Должны быть подготовлены и
структуру организации и проанализировать быть в наличии Средства для контроля
возможное положение ЦРКИБ в структуре целостности файловой системы и данных
организации Проанализировать существующую Tripwire Дубли/архивы системы и данных –
практику реагирования на компьютерные проконтролированы при аудите
инциденты безопасности, по возможности Инсталяционные носители –
привлечь реальные примеры Описать проконтролированы при аудите Средства
известные ЦРКИБ или аналогичные службы в востановления как компонент средств
поле зрения слушателей. Slide_28. June анализа Средства восстановления должны
21-24, 2004 Silk Security Workshop. защищены от возможных последствия
Establishing CSIRT - Organisational and «закладок» и rootkits Любая система может
Operational issues. быть восстановлена Подготовка определяет
29Операционные вопросы работы ЦРКИБ. успех и минимальные потери. Slide_64. June
Услуги предоставляемые ЦРКИБ Помещение 21-24, 2004 Silk Security Workshop.
Средства связи и коммуникации Программное Establishing CSIRT - Organisational and
обеспечение Оборудование Процедуры. Operational issues.
Slide_29. June 21-24, 2004 Silk Security 65Действия после инцидента.
Workshop. Establishing CSIRT - Дисциплинарные воздействия и наказания
Organisational and Operational issues. Злоумышленник/инициатор атаки должен быть
30Услуги предоставляемые ЦРКИБ. определен Наказание и возмещение ущерба в
Обычный/общепринятый перечень услуг ЦРКИБ соответствии с существующими правилами и
Координация инцидентов компьютерной законодательством Дополнительные меры,
безопасности (КИБ) Реагирование на КИБ чтобы предотвратить подобные инциденты
Расследование КИБ Оповещение об угрозах, Извлечь уроки и при необходимости
уязвимостях, атаках Анализ уязвимостях пересмотреть Политику безопасности
Обнаружение случаев вторжения в сеть Информировать пользователей и просветить
Тренинг и просвещение в вопросах пострадавших. Slide_65. June 21-24, 2004
компьютерной безопасности Аудит Silk Security Workshop. Establishing CSIRT
защищенности/безопасности сети, анализ - Organisational and Operational issues.
рисков Консалтинг по вопросам компьютерной 66Отчеты и анализ. Задокументировать
безопасности Разработка средств для положительный опыт Отчеты и статистика
поддержки внутренних процессов. Slide_30. может быть полезна как собственному
June 21-24, 2004 Silk Security Workshop. персоналу, так и другим Центрам Некоторая
Establishing CSIRT - Organisational and информация может иметь ограниченное
Operational issues. распространение Злоумышленники и хакеры
31Потребности организации. Определить также учаться Предоставление формального
потребности организации Определить, какие отчета об инциденте может быть
услуги будет предоставлять создаваемый обязанностью Центра Как часть соглашения с
ЦРКИБ Оценить возможности ЦРКИБ при учредителями или SLA (Service Level
наличном составе и финансировании Agreement), а также как часть соглашение о
Задокументировать в виде отдельного сотрудничестве с другими центрами
документа, уведомить базовую организацию и Пересмотреть существующую Политику
сделать его доступным для клиентов безопасности В случае необходимости
Предложить решения и/или указать другие провести аудит системы и/или сети.
организации, которые могут предоставлять Slide_66. June 21-24, 2004 Silk Security
дополнительные услуги, решать остальные Workshop. Establishing CSIRT -
вопросы Определить КАК и в КОГДА будет Organisational and Operational issues.
работать ЦРКИБ Контакт через веб, 67Информационная деятельность Центра
электронную почту, или по телефону Как (1). В зависмости от типа ЦРКИБ, может
предоставляются услуги в рабочее время, составлять большую или меньшую часть
вне-рабочее время и есть ли нужда в предоставляемых услуг Существуют
24х7х365 регламенте. Slide_31. June 21-24, множественные источники регулярной
2004 Silk Security Workshop. Establishing информации об уязвимостях компьютерных
CSIRT - Organisational and Operational систем и соответствующих рекомендаций
issues. Службы производителей и поставщиков:
32Структура ЦРКИБ – Общие вопросы. Microsoft, Cisco, Sun, RedHat Фирмы и
Должен быть персонал первой, второй и организации в области безопасности: ISS,
третьей линий поддержки Не для всех BugTraq, CA, SANS Центры реагирования и
функций нужен постоянный персонал Другие обмена информацией: CERT/CC,
члены организации могут выполнять SecurityFocus, eCSIRT, национальные Центры
определенные функции по совместительству Получение определенной информации может
Первые контактные лица должны быть четко потребовать подписания соглашения о
определены Нужен четкий учет рабочего неразглашении (NDA – Non-Disclosure
времени Виртуальный ЦРКИБ может быть Agreement) ЦРКИБ должен поддерживать
создан полностью из уже существующего доверительные отношения с поставщиками и
персонала, работающего на должностях, по другими Центрами. Slide_67. June 21-24,
своему характеру имеющих дело с 2004 Silk Security Workshop. Establishing
аналогичными технологиями, например, CSIRT - Organisational and Operational
специалисты Сетевого операционного центра, issues.
системые администраторы, специалисты ИТ. 68Информационная деятельность Центра
Slide_32. June 21-24, 2004 Silk Security (2). ЦРКИБ должен отслеживать, оценивать и
Workshop. Establishing CSIRT - отбирать информацию, актуальную для своих
Organisational and Operational issues. пользователей Информация часто должна быть
33Помещение. ЦРКИБ может иметь дело с адаптирована к нуждам пользователей
конфиденциальной информацией Необходимо Краткая аннотация или полный перевод
отдельное помещение со средствами исходных материалов может быть необходим
обеспечения физической безопасности Какие системы уязвимы Возможный ущерб,
Сигнализация, видеокамера Защищенные окна, например, отказ в обслуживании, потеря
двери Отдельные помещения для приема информации Оценка опасности (реальная,
посетителей и работы с материалами теоретическая, ...) Как избежать опасности
инцидентов Комнаты, шкафы и тумбочки и устранить уязвимость (обновления
должны иметь замки Компьютеры, сеть и системы, патчи) Возможные последствия
архивы должны быть защищены Для работы в применения «быстрых» патчей или
нерабочие часы Помещение должно иметь чрезвычайных мер. Slide_68. June 21-24,
гарантированный доступ Помещение должно 2004 Silk Security Workshop. Establishing
быть обитаемым (электричество, отопление, CSIRT - Organisational and Operational
вода, т.п.). Slide_33. June 21-24, 2004 issues.
Silk Security Workshop. Establishing CSIRT 69Информационная деятельность Центра
- Organisational and Operational issues. (3). ЦРКИБ может выпускать свои
34Коммуникации и обмен информацией. собственные рекомендации На основе
Электронная почта как основное средство компиляции получаемых материалов или
коммуникации Должен быть собственных исследований Рекомендации и
многопользовательский доступ к почтовым опыт ликвидации прошедших инцидентов
ящикам Простейшее решение - использование Информация должна быть доступна по
протокола IMAP Имеет ограниченные подписке и через веб Достоверность
возможности для аудита Один человек информации должна подтверждаться цифровой
принимает и сортирует сообщения, другие подписью Центра Пользователя должны иметь
работают над инцидентами Шифрование возможность проверить достоверность и
информации Должны использоваться целостность получаемой информации.
шифрование и цифровая подпись Поддержка Slide_69. June 21-24, 2004 Silk Security
PGP – стандарт-де-факто для CSIRT Персонал Workshop. Establishing CSIRT -
ЦРКИБ должен уметь пользоваться Organisational and Operational issues.
технологиями защиты информации. Slide_34. 70Заключение. Центр реагирования на
June 21-24, 2004 Silk Security Workshop. компьютерные инциденты безопасности –
Establishing CSIRT - Organisational and важный компонент обеспечения безопасности
Operational issues. сети и компьютерных систем Существуют
35Нахождение контактов. Регулярные: сильное сообщество сотрудничающих ЦРКИБ,
Директории CSIRTs FIRST Trusted Introducer которое заинтересовано и готово помочь
(TI) В ходе расследования инцидентов По новым Центрам Существуют обширные
IP-адресам RIPE NCC – IR Contact ARIN, информационные материалы в помощь новым
APNIC, AfNIC, LatNIC По доменному имени ЦРКИБ Специально для Silk Security
DNS/InterNIC Дополнительно о Центрах, Workshop
обслуживающих определенные группы FIRST, http://www.uazone.org/znews/security/.
TI, местные директории Должны быть Slide_70. June 21-24, 2004 Silk Security
специальные средства для обращения к WHOIS Workshop. Establishing CSIRT -
и другим директориям Поддерживать свою Organisational and Operational issues.
базу контактов Специальные сайты и списки 71Вопросы и комментарии? Slide_71. June
рассылки Например, SecurityFocus - 21-24, 2004 Silk Security Workshop.
<incidents@securityfocus.com > Establishing CSIRT - Organisational and
Slide_35. June 21-24, 2004 Silk Security Operational issues.
Создание службы реагирования на компьютерные инциденты безопасности.ppt
http://900igr.net/kartinka/obschestvoznanie/sozdanie-sluzhby-reagirovanija-na-kompjuternye-intsidenty-bezopasnosti-210567.html
cсылка на страницу

Создание службы реагирования на компьютерные инциденты безопасности

другие презентации на тему «Создание службы реагирования на компьютерные инциденты безопасности»

«Службы гражданской обороны» - Задачи служб гражданской обороны. 9. Планирование и организация первоочередного жизнеобеспечения пострадавшего населения. Повышенной готовности повседневной готовности. Новогорск. Аварийно-технические команды, группы. Разведывательные команды, группы и звенья. Группы, звенья подвоза воды и обслуживания водозаборных пунктов.

«Компьютерная безопасность» - Временные метки объектов базы данных. Базовая теорема ИПС. 2-й шаг. ?(S3:u, o1:v): create subject s3 of type u ; inter r'' into [s3, o1] ; end. Достоинства дискреционных моделей. Взаимосвязь открытых систем. Коэффициент дублирования прав доступа. Бухгалтер (второй) (u5) – бухгалтер по заработной плате, подменяет (первого) бухгалтера и кассира.

«Правила безопасности» - О всех возникших проблемах немедленно сообщите учителю. Правила техники безопасности. Не подключайте и не отключайте в кабинете самостоятельно электроприборы и электрический щиток. Не перемещайте самостоятельно компьютерные составляющие (монитор и системный блок). Правила безопасности на рабочем месте.

«Национальная безопасность» - Россия в мировом сообществе. Национальная безопасность. Обеспечение национальной безопасности России. Безопасность. Понятие национальной безопасности. Угрозы национальной безопасности Российской Федерации. Cистема национальной безопасности. Разделы концепции: Концепция национальной безопасности Российской Федерации.

«Службы интернета» - Тип программ Internet Relay Chat - электронные эквивалентами телефонных конференций. Клиент FTP - IE, CuteFTP, FAR, программы для закачивания файлов. ВЫВОДЫ После прочтения вернитесь к содержанию. Анонимное ftp не требуется для работы идентификации. IP - телефония. Live Video (Audio). ОБЩИЕ СВЕДЕНЬЯ После изучения раздела перейдите к технологии.

Без темы

1473 презентации
Урок

Обществознание

85 тем
Картинки
900igr.net > Презентации по обществознанию > Без темы > Создание службы реагирования на компьютерные инциденты безопасности