cert/csirt: wie baue ich ein cert in und für mein eigenes...
TRANSCRIPT
![Page 1: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/1.jpg)
21.11.2010 1
CERT/CSIRT:Wie baue ich ein CERT in und für mein eigenes Unternehmen auf?
Vortragender: Christian Proschinger
![Page 2: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/2.jpg)
Buzzword Bingo
21.11.2010 2
Constituency
CERT
Security Incident Management
CSIRT
CIRT
Security Incident Capabilities
ITIL
ISO 27001
TF-CSIRTFIRST
Trusted Introducer
IRT
Incident Management
Problem Management
RTFM
ENISACMU
CIA
RFC 2350
![Page 3: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/3.jpg)
� CERT.at – das nationale Computer Emergency Response Team
� Ansprechpartner für IT Sicherheit im nationalen Umfeld
� Zielgruppe: österreichische IT Security-Teams und lokale CERTs
� Vernetzung von und mit anderen CERTs, Sicherheitsteams (weltweit)
� Koordinationsstelle
� Initiative von Nic.at (österreichische Domain Registry)
� GovCERT – das Government Computer Emergency Response Team
� Zielgruppe: öffentliche Verwaltung und kritische Informationsinfrastruktur
� Kooperation zwischen Bundeskanzleramt und CERT.at
Wer sind wir?
21.11.2010 3
![Page 4: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/4.jpg)
� Informationsverteilung
� Warnungen
� Empfehlungen
� Aufbereitung von Sicherheitsinformationen
� Vorfallskoordination
� Unterstützung bei Sicherheitsvorfällen
� Analyse
� Task-Forces
� Clearingstelle
� Plattform für Vernetzung der IT-Security Experten in Österreich
� Unterstützung beim Aufbau von CERTs
� Lagebild
Was tun wir?
21.11.2010 4
![Page 5: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/5.jpg)
CERT Entwicklung 2008
21.11.2010 5
![Page 6: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/6.jpg)
CERT Entwicklung 2010
21.11.2010 6
![Page 7: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/7.jpg)
Mögliche Services von CERTs
21.11.2010 7
Quelle: www.cert.org
![Page 8: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/8.jpg)
� Security Incident-Handling
� Triage
� Liegt ein Security-Incident vor?
� Sind wir zuständig?
� Bewerten und Priorisieren.
� Analyse des Vorfalls
� Ergreifen, Vorschlagen, Veranlassen von Maßnahmen
� Durchführung und Wirksamkeit kontrollieren
� Nachbereitung
Die Pflicht
21.11.2010 8
![Page 9: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/9.jpg)
Die Kür
21.11.2010 9
� Analog zu „Nebengeschäften“ der Feuerwehr
� Vermeidung von Vorfällen
� Mechanismen zur Erkennung
� Vorbereitung von Gegenmaßnahmen
� Organisieren von Ansprechpersonen
� Öffentlichkeitsarbeit
� Beratung
![Page 10: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/10.jpg)
� Zentrale Koordination von Sicherheitsvorfällen
� Sachkundige Behandlung von Sicherheitsvorfällen
� Tatsächliche Behebung
� Richtige Beweissicherung
� Unterstützung der Benutzer/Fachabteilungen
� Raschere Wiederherstellung
� Schadensreduzierung
� State-of-the Art
� Verbesserung der Sicherheits-Awareness im Unternehmen
� Nach außen sichtbare Ansprechstelle
� Einfachere Zusammenarbeit bei Sicherheitsvorfällen mit anderen Institutionen
Warum ein CERT fürs eigene Unternehmen
21.11.2010 10
![Page 11: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/11.jpg)
� Wichtige Personen im Unternehmen
� IT-Betrieb
� IT-Leiter
� CSO, CISO
� Risiko Manager
� Notfallsmanager
� Revision
� Geschäftsführung
� Pressestelle
� Wichtige Personen/Organisationen außerhalb
� Andere Teams in gleicher Branche - Erfahrungsaustausch
� Andere Teams - Unterstützung für Aufbau, Akkreditierung
Teilnehmer identifizieren
21.11.2010 11
![Page 12: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/12.jpg)
� Wen vertrete ich als Ansprechstelle für Sicherheitsvorfälle?
� Wem biete ich meine Services an?
� Klientel, Zielgruppe
� Vorsicht bei Begriff „Kunde“
� Mögliche Eingrenzung
� Unternehmen die das CERT vertritt
� Services für Unternehmen die das CERT vertritt
� AS-Nummer
Constituency
21.11.2010 12
![Page 13: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/13.jpg)
� Klare Definition der Aufgaben
� Kernaktivitäten
� Abstimmung mit Management
� „Elevator Pitch“
� 30s-2min
Mission Statement
21.11.2010 13
Quelle: www.S-CERT.de
![Page 14: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/14.jpg)
� Aussagekräftiger Name
� Zielgruppe
� Art
� International
� Abkürzung
� CERT Computer Emergency Response Team
� CSIRT Computer Security Incident Response Team
� IRT Incident Response Team
� CIRT Computer Incident Response Team
� SERT Security Emergency Response Team
Name des Teams
21.11.2010 14
![Page 15: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/15.jpg)
Kritische Erfolgsfaktoren
21.11.2010 15
Quelle: Projekt „CERT Niedersachsen“ [2005]; Dr. K.-P. Kossakowski
![Page 16: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/16.jpg)
� Kernteam
� Virtuelles Team
� 1 Teamleiter
� 1 Teamrepräsentant
� Fachexperten
� Je nach Services
� Externer Expertenpool
� Einbettung in Krisenorganisation
� Lenkungsgremien (Teamleiter, IT-Leiter, CSO,…)
� Weisungsrecht ja/nein
Organisationsstruktur
21.11.2010 16
![Page 17: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/17.jpg)
Geschäftsführung
IT Abteilung Fachbereich Fachbereich
CERTInformation
Security Management
Beispiele Organisatorische Einbettung
21.11.2010 17
Geschäftsfstührung
IT Abteilung Fachbereich Fachbereich
CERT Revision
Geschäftsführung
IT Abteilung Fachbereich Fachbereich
ISM & CERT
Geschäftsführung
IT Abteilung
CERT
Fachbereich Fachbereich
Information Security
Management
![Page 18: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/18.jpg)
� Langfristige Absicherung erforderlich
� Finanzierung durch
� Mutterunternehmen
� Servicegebühren
� Mitgliedschaft
� Business Case planen
� Kosten (inkl. Reisekosten, Fortbildung)
� Eventuelle Kostenersparnis aufzeigen
� Skaleneffekte
� Qualitätsverbesserung
� Schadensreduzierung
Finanzierungsmodell
21.11.2010 18
![Page 19: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/19.jpg)
Services definieren
21.11.2010 19
Quelle: www.cert.org
![Page 20: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/20.jpg)
Was ist Security Incident Management
21.11.2010 20
Quelle: www.cert.org
![Page 21: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/21.jpg)
Security Incident Handling
21.11.2010 21
Quelle: www.cert.org
![Page 22: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/22.jpg)
� Prozesse im Team definieren und dokumentieren
� Ticketing System verwenden
� Bestehendes System
� Autarkes System
� Existieren schon Prozesse im Unternehmen (z.B. IT Infrastructure Library)
� Service Desk
� Incident Management Prozess
� Problem Management Prozess
� …
� Vorsicht bei ITIL: Incident != Security Incident
Security Incident Management umsetzen
21.11.2010 22
![Page 23: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/23.jpg)
� Patch Management
� Sicherheit
� Funktion
� Stabilität
� Vulnerability Management
� Patch
� Workaround
� Konfigurationsänderung
� Designänderung
Beispiel Vulnerability Management
21.11.2010 23
Patch Management
Vulnerability ManagementVulnerability Management
![Page 24: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/24.jpg)
• Audit
• VulnerabilityScans – CERT Service
• Kennzahlenbericht an Management
• Gegenmaßnahme
• Patch
• Workaround
• Konfiguration
• Information
• Advisories –CERT Service
• Ansprechpartner – CERT Service
Plan Do
CheckAct
Beispiel Vulnerability Management
21.11.2010 24
![Page 25: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/25.jpg)
� Europa
� Trusted Introducer
� listed
� accredited
� International
� Forum of Incident Response and Security Teams
� Full Member
� Akkreditierung mit Site-Visit
� 2 unterstützende Teams
Sichtbarkeit und Qualitätssicherung
21.11.2010 25
![Page 26: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/26.jpg)
� Aussperren von Blackhats
� Verifizierte und aktualisierte Kontaktdaten
� Geschlossene Mailing- und Diskussionslisten
� Regelmäßige Meetings
� Trusted Introducer
� TF-CSIRT ca. 4x im Jahr in Europa
� FIRST
� Technical Symposium ca. 4x pro Jahr weltweit
� Annual FIRST Conference
Sichtbarkeit und Qualitätssicherung
21.11.2010 26
![Page 27: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/27.jpg)
� Woher beziehen Sie aktuell Informationen
� Wie behandeln Sie Sicherheitsvorfälle aktuell?
Diskussion und Fragen?
21.11.2010 27
![Page 28: CERT/CSIRT: Wie baue ich ein CERT in und für mein eigenes …itsecx.fhstp.ac.at/downloads_2010/cert_csirt_proschinger... · 2013. 9. 6. · Unterstützung beim Aufbau von CERTs Lagebild](https://reader034.vdokument.com/reader034/viewer/2022051823/5fed13c1830a90432f60a39a/html5/thumbnails/28.jpg)
Handbook for Computer Security Incident Response Teams (CSIRTs)
2nd Edition April 2003Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, Mark Zajicek
State of the Practice of Computer Security Incident Response Teams (CSIRTs)
October 2003Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek
Defining Incident Management Processes for CSIRTs: A Work in Progress
October 2004Chris Alberts, Audrey Dorofee, Georgia Killcrece, Robin Ruefle, Mark Zajicek
Einrichtung eines CSIRT Schritt für Schritt
2006ENISA
Literatur
21.11.2010 28