Hendelseshåndtering - organisering, infrastruktur og rammeverk Per Arne Enstad, UNINETT CERT 02. Mai 2017
Startpunkt for etablering av et IRT 2
Organisering Sørg for forankring i ledelsen! Ledelsessystem for informasjonssikkerhet Det er viktig å gi ledelsen løpende noe tilbake for deres støtte Rapportering, synliggjøring Sørg for finansiering Skap bevissthet om hvilke potensielle kostnader et FRAVÆR av IRT kan medføre Ny personvernlovgiving som gjelder fra mai 2018 gir myndighetene anledning til å ilegge bøter som svir! Kostnader som følge av et skadet omdømme Hva er vårt oppdrag? (mission statement/mandat) Legitimitet og bemyndigelse Myndighet til å kunne utføre akutte inngrep når det er nødvendig Hvem skal vi betjene? Lag gjerne et aktørkart! Ta en beslutning på hvor IRT hører hjemme i egen organisasjon Identifiser støttespillere (IT-avdelinger, HR, ledergruppe, sektorcert etc) Hvilke verdier skal vi passe på? Verdifull/sensitiv informasjon, systemer, nettverk, servere, klienter, Ledelssystemet skal definere denne oversikten 3
Hendelseshåndtering starter med å definere teamet Teamleder Koordinator, har hovedansvar for at hendelser blir håndtert Teammedlemmer God mix av tekniske ferdigheter og oversikt over egen organisasjon Profesjonell holdning, pålitelig, holde informasjon tett til brystet Teammedlemmer er ikke nødvendigvis i IRT-modus på fulltid Dere skal gjøre mye av det samme som i dag, men bedre organisert! Sørg for tilstrekkelig bemanning og tilstedeværelse 4
Teamets plassering i virksomheten De færreste UH-virksomheter har et aktivitetsnivå med hensyn til hendelseshåndtering som kan forsvare et dedikert IRT på heltid Den mest hensiktsmessige organiseringen er sannsynligvis et virtuelt IRT Ikke ulikt et frivillig brannkorps Hendelseshåndtering er intimt knyttet til IKT-kompetanse Det er derfor ikke unaturlig at et IRT er organisasjonsmessig tilknyttet IT-avdelingen MEN: andre måter å organisere seg på kan i noen tilfeller være like bra, dette avhenger av hvordan organisasjonen ellers er bygget opp Husk imidlertid at plikter og rettigheter er uavhengig av organisasjonsmessig plassering! Det viktigste av alt er imidlertid at man organiserer seg! 5
Rekruttering Basisegenskaper: Sunt bondevett! Evne til å kommunisere klart og tydelig Må kunne være diplomatisk Må kunne tåle å arbeide under press, i det minste over et kortere tidsrom Lagspiller Løsningsorientert Et IRT er helt avhengig av tillit Personer i et IRT må ha plettfri vandel, og være til å stole på! Diskresjon er en selvfølge Tillit bygges i millimeter, men rives metervis Ferdigheter/kompetanse Velg personer som er i stand til å løse de oppgavene som teamet er tildelt Komplementære ferdigheter 6
Synliggjøring av IRT - internt Lanseringen bør markeres Kick-off Få med ledelsen på dette! Dette er en fin anledning for dem å vise at de tar sikkerhet på alvor! Snorklipping med et infiserendevedlegg ;-) Utarbeid og gi informasjon om IRT til alle ansatte og studenter Kontaktpunkt hvordan kan dere nås? (ikke slik) List opp alternative kommunikasjonskanaler Åpningstider når kan dere kontaktes? Hvilke tjenester tilbyr ditt IRT? 7
Synliggjøring av IRT eksternt Lag informasjon om IRT og publiser denne på en lett tilgjengelig måte på virksomhetens eksterne websider: Kontaktinformasjon (epost, telefon, ) Hvem som er teamets målgruppe Si gjerne noe om forventet responstid på innmeldte saker Søk samarbeid med andre team i inn- og utland Dette skaper gjensidig tillit og er en viktig arena for læring! 8
Hvilke tjenester skal dere tilby? Det er en masse ting å velge i: Basis hendelseshåndtering Koordinering Varsling Sårbarhetshåndtering Anomalideteksjon Analyse av ondsinnet programvare Vær oppmerksom på at selv de mest avanserte team ikke gjør alt Velg med omhu kvalitet er bedre enn kvantitet Informer også om hva ditt IRT IKKE gjør (eller ikke tar ansvar for) 9
Kontaktpunkter Alle skal ha postboksen abuse@institusjon.no (RFC 2142)! Deling av sensitiv informasjon med andre team forutsetter avtaler om hvordan slik informasjon skal håndteres (TLP-avtaler) TLP-avtaler forutsetter team identifisert som f.eks. irt@institusjon.no, soc@institusjon.no, csirt@institusjon.no eller cert@institusjon.no. (CERT er registrert varemerke for CMU, vi anbefaler irt eller csirt) Sørg for å opprette en PGP-nøkkel for teamet og få denne signert av andre team (og enkeltpersoner) Telefon dagtid Akutt kontaktpunkt utenfor arbeidstid? Andre kontaktpunkter? 10
Håndtering av informasjon 11
TLP - Trafikklysprotokoll Bilateral avtale med betingelser for informasjonsdeling En hjørnestein i sikkerhetsarbeidet En beskjed fra kilden om at Slik vil jeg at du skal behandle denne informasjonen TLP Rød: kun til personlig mottaker, alltid kryptert og signert TLP Gul: kun til mottakende sikkerhetsteam, fortrinnsvis kryptert, alltid signert. TLP Grønn; kan deles men ikke publiseres åpent, fortrinnsvis signert TLP Hvit: kan gjøres offentlig tilgjengelig 12
Hva kan vi bruke betrodd informasjon til? Farget informasjon (iht TLP) er utsteders eiendom. Vær lojal til de betingelser som vedkommende stiller for håndtering og deling Generelt: Budskapet du mottar er ment å være til din informasjon Dette innebærer at du kan bruke innholdet til å beskytte dine egne informasjonsverdier, f.eks lage regler i brannmurer, søke i logger etc Hvis budskapet inneholder indikatorer (ip-adresser, protokoll, porter ) må du betrakte dette som et mulig åsted for en kriminell handling Ikke bruk denne kunnskapen (uten å være i dialog med kilden) til å probe indikatoren, ved f.eks pinging, forsøk på oppkopling eller gjøre DNS-oppslag Det skal veldig lite til før man kan komme i skade for å forkludre bevis, eller gjøre inntrengere oppmerksom på at de er under oppsikt Etterforskning med passive kilder er selvsagt OK (eks logger, Netflow, passiv DNS) 13
Autentisitet, integritet og konfidensialitet Man trenger å vite sikkert hvem avsender er (autentisitet) Signering Man trenger å vite at informasjonen ikke er tuklet med (integritet) Signering Man behøver å sikre seg mot at uvedkommende kan lese informasjonen (konfidensialitet) Kryptering God praksis er å signere alt, kryptere når nødvendig PGP-nøkler og signering er å regne som et basisverktøy for et IRT 14
Kommunikasjon og nettverk 15
Sikkerhetsarbeid handler mye om kommunikasjon Lag et aktørkart for egen virksomhet Kommuniser gjerne direkte med andre team Det kan være en fordel å holde sektorvise responsmiljø orientert, særlig viktig hvis saken skulle eskalere Tillit og en profesjonell holdning er en forutsetning Beskytt informasjonen du besitter Taushetsplikt Anonymiser informasjon når du må formidle. 16
Aktørkart for UNINETT CERT
Andre team og organisasjoner NorCERT Andre norske IRT: FinansCERT, KraftCERT, HelseCERT... Tilsvarende IRT i andre land FIRST TI (Trusted Introducer) Listed, accredited, certified Sammen blir vi sterke(re)! Og sammen er vi i realiteten en viktig del av Norges og internettsamfunnets totalforsvar! 18
Rammeverk 19
20
NSMs rammeverk for hendelseshåndtering Work in progress Siste versjon var klar til den nasjonale øvelsen IKT16 i månedsskiftet november/desember 2016 Dette skal bli et best practise dokument som beskriver hvordan hendelseshåndtering og utveksling av informasjon skal foregå NorCERT vil gi dere mer informasjon om dette senere i dag 21
Oppfølging Hver institusjon skal rapportere til departementet om status for innføring av ledelsessystem for informasjonssikkerhet husk at IRT inngår som en vesentlig del av dette UNINETT ønsker å være en støttespiller for IRT i sektoren Faglige samlinger Erfaringsutveksling Relasjonsbygging Fortell oss gjerne om hvordan det går! 22
Litteratur og videre løft: http://www.cert.org http://www.trusted-introducer.org/ccopv21.pdf UNINETT CERT kan bidra til ytterligere løft i sektoren for institusjoner som ønsker å gå enda lengre TRANSITS 2 dagers kurs for IRT arrangert av GÉANT 23