CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes...
Transcript of CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes...
21.11.2010 1
CERT/CSIRT:Wie baue ich ein CERT in und für mein eigenes Unternehmen auf?
Vortragender: Christian Proschinger
Buzzword Bingo
21.11.2010 2
Constituency
CERT
Security Incident Management
CSIRT
CIRT
Security Incident Capabilities
ITIL
ISO 27001
TF-CSIRTFIRST
Trusted Introducer
IRT
Incident Management
Problem Management
RTFM
ENISACMU
CIA
RFC 2350
� CERT.at – das nationale Computer Emergency Response Team
� Ansprechpartner für IT Sicherheit im nationalen Umfeld
� Zielgruppe: österreichische IT Security-Teams und lokale CERTs
� Vernetzung von und mit anderen CERTs, Sicherheitsteams (weltweit)
� Koordinationsstelle
� Initiative von Nic.at (österreichische Domain Registry)
� GovCERT – das Government Computer Emergency Response Team
� Zielgruppe: öffentliche Verwaltung und kritische Informationsinfrastruktur
� Kooperation zwischen Bundeskanzleramt und CERT.at
Wer sind wir?
21.11.2010 3
� Informationsverteilung
� Warnungen
� Empfehlungen
� Aufbereitung von Sicherheitsinformationen
� Vorfallskoordination
� Unterstützung bei Sicherheitsvorfällen
� Analyse
� Task-Forces
� Clearingstelle
� Plattform für Vernetzung der IT-Security Experten in Österreich
� Unterstützung beim Aufbau von CERTs
� Lagebild
Was tun wir?
21.11.2010 4
CERT Entwicklung 2008
21.11.2010 5
CERT Entwicklung 2010
21.11.2010 6
Mögliche Services von CERTs
21.11.2010 7
Quelle: www.cert.org
� Security Incident-Handling
� Triage
� Liegt ein Security-Incident vor?
� Sind wir zuständig?
� Bewerten und Priorisieren.
� Analyse des Vorfalls
� Ergreifen, Vorschlagen, Veranlassen von Maßnahmen
� Durchführung und Wirksamkeit kontrollieren
� Nachbereitung
Die Pflicht
21.11.2010 8
Die Kür
21.11.2010 9
� Analog zu „Nebengeschäften“ der Feuerwehr
� Vermeidung von Vorfällen
� Mechanismen zur Erkennung
� Vorbereitung von Gegenmaßnahmen
� Organisieren von Ansprechpersonen
� Öffentlichkeitsarbeit
� Beratung
� Zentrale Koordination von Sicherheitsvorfällen
� Sachkundige Behandlung von Sicherheitsvorfällen
� Tatsächliche Behebung
� Richtige Beweissicherung
� Unterstützung der Benutzer/Fachabteilungen
� Raschere Wiederherstellung
� Schadensreduzierung
� State-of-the Art
� Verbesserung der Sicherheits-Awareness im Unternehmen
� Nach außen sichtbare Ansprechstelle
� Einfachere Zusammenarbeit bei Sicherheitsvorfällen mit anderen Institutionen
Warum ein CERT fürs eigene Unternehmen
21.11.2010 10
� Wichtige Personen im Unternehmen
� IT-Betrieb
� IT-Leiter
� CSO, CISO
� Risiko Manager
� Notfallsmanager
� Revision
� Geschäftsführung
� Pressestelle
� Wichtige Personen/Organisationen außerhalb
� Andere Teams in gleicher Branche - Erfahrungsaustausch
� Andere Teams - Unterstützung für Aufbau, Akkreditierung
Teilnehmer identifizieren
21.11.2010 11
� Wen vertrete ich als Ansprechstelle für Sicherheitsvorfälle?
� Wem biete ich meine Services an?
� Klientel, Zielgruppe
� Vorsicht bei Begriff „Kunde“
� Mögliche Eingrenzung
� Unternehmen die das CERT vertritt
� Services für Unternehmen die das CERT vertritt
� AS-Nummer
Constituency
21.11.2010 12
� Klare Definition der Aufgaben
� Kernaktivitäten
� Abstimmung mit Management
� „Elevator Pitch“
� 30s-2min
Mission Statement
21.11.2010 13
Quelle: www.S-CERT.de
� Aussagekräftiger Name
� Zielgruppe
� Art
� International
� Abkürzung
� CERT Computer Emergency Response Team
� CSIRT Computer Security Incident Response Team
� IRT Incident Response Team
� CIRT Computer Incident Response Team
� SERT Security Emergency Response Team
Name des Teams
21.11.2010 14
Kritische Erfolgsfaktoren
21.11.2010 15
Quelle: Projekt „CERT Niedersachsen“ [2005]; Dr. K.-P. Kossakowski
� Kernteam
� Virtuelles Team
� 1 Teamleiter
� 1 Teamrepräsentant
� Fachexperten
� Je nach Services
� Externer Expertenpool
� Einbettung in Krisenorganisation
� Lenkungsgremien (Teamleiter, IT-Leiter, CSO,…)
� Weisungsrecht ja/nein
Organisationsstruktur
21.11.2010 16
Geschäftsführung
IT Abteilung Fachbereich Fachbereich
CERTInformation
Security Management
Beispiele Organisatorische Einbettung
21.11.2010 17
Geschäftsfstührung
IT Abteilung Fachbereich Fachbereich
CERT Revision
Geschäftsführung
IT Abteilung Fachbereich Fachbereich
ISM & CERT
Geschäftsführung
IT Abteilung
CERT
Fachbereich Fachbereich
Information Security
Management
� Langfristige Absicherung erforderlich
� Finanzierung durch
� Mutterunternehmen
� Servicegebühren
� Mitgliedschaft
� Business Case planen
� Kosten (inkl. Reisekosten, Fortbildung)
� Eventuelle Kostenersparnis aufzeigen
� Skaleneffekte
� Qualitätsverbesserung
� Schadensreduzierung
Finanzierungsmodell
21.11.2010 18
Services definieren
21.11.2010 19
Quelle: www.cert.org
Was ist Security Incident Management
21.11.2010 20
Quelle: www.cert.org
Security Incident Handling
21.11.2010 21
Quelle: www.cert.org
� Prozesse im Team definieren und dokumentieren
� Ticketing System verwenden
� Bestehendes System
� Autarkes System
� Existieren schon Prozesse im Unternehmen (z.B. IT Infrastructure Library)
� Service Desk
� Incident Management Prozess
� Problem Management Prozess
� …
� Vorsicht bei ITIL: Incident != Security Incident
Security Incident Management umsetzen
21.11.2010 22
� Patch Management
� Sicherheit
� Funktion
� Stabilität
� Vulnerability Management
� Patch
� Workaround
� Konfigurationsänderung
� Designänderung
Beispiel Vulnerability Management
21.11.2010 23
Patch Management
Vulnerability ManagementVulnerability Management
• Audit
• VulnerabilityScans – CERT Service
• Kennzahlenbericht an Management
• Gegenmaßnahme
• Patch
• Workaround
• Konfiguration
• Information
• Advisories –CERT Service
• Ansprechpartner – CERT Service
Plan Do
CheckAct
Beispiel Vulnerability Management
21.11.2010 24
� Europa
� Trusted Introducer
� listed
� accredited
� International
� Forum of Incident Response and Security Teams
� Full Member
� Akkreditierung mit Site-Visit
� 2 unterstützende Teams
Sichtbarkeit und Qualitätssicherung
21.11.2010 25
� Aussperren von Blackhats
� Verifizierte und aktualisierte Kontaktdaten
� Geschlossene Mailing- und Diskussionslisten
� Regelmäßige Meetings
� Trusted Introducer
� TF-CSIRT ca. 4x im Jahr in Europa
� FIRST
� Technical Symposium ca. 4x pro Jahr weltweit
� Annual FIRST Conference
Sichtbarkeit und Qualitätssicherung
21.11.2010 26
� Woher beziehen Sie aktuell Informationen
� Wie behandeln Sie Sicherheitsvorfälle aktuell?
Diskussion und Fragen?
21.11.2010 27
Handbook for Computer Security Incident Response Teams (CSIRTs)
2nd Edition April 2003Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, Mark Zajicek
State of the Practice of Computer Security Incident Response Teams (CSIRTs)
October 2003Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek
Defining Incident Management Processes for CSIRTs: A Work in Progress
October 2004Chris Alberts, Audrey Dorofee, Georgia Killcrece, Robin Ruefle, Mark Zajicek
Einrichtung eines CSIRT Schritt für Schritt
2006ENISA
Literatur
21.11.2010 28