IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Like dokumenter
IRT-konsepter. Hva handler hendelseshåndtering om? 14. januar 2019

Tilsiktede uønskede handlinger

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Trusler, trender og tiltak 2009

HÅNDTERING AV NETTANGREP I FINANS

Datasikkerhet og cyberspace Arendal Rotaryklubb

HØGSKOLEN I SØR-TRØNDELAG

UiO IN2120 høst 2019 Incident Response and Forensics - Forslag til svar på caseoppgave. Frode Lilledahl

Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier IKT-risikobildet. Dataangrep mot kritisk infrastruktur og informasjon

Hendelser skjer - hvordan håndterer vi dem?

Slik stoppes de fleste dataangrepene

«State of the union»

NorCERT IKT-risikobildet

Velkommen til fagsamling

orske virksomheter i det digitale rom

TI TILTAK FOR BESKYTTELSE AV DATAMASKINER

BRUKERMANUAL. Telsys Online Backup

Erfaringer fra etableringen av institusjonsvise sikkerhetsteam

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

en arena for krig og krim en arena for krig og krim?

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

Nettbutikkenes trusler i det digitale rom. Thor M Bjerke, sikkerhetsrådgiver Virke.

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Gode råd til deg som stiller til valg

Sikkerhet ved PC-basert eksamen

Metoder og verktøy i operativt sikkerhetsarbeid

RISIKO OG CYBERSIKKERHET

UH-sektorens utfordringer

HelseCERT Situasjonsbilde 2018

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Cybersikkerhet hva er det og hva er utfordringene? Karsten Friis

Instruks for utlevering av elektronisk lagret materiale til politi eller påtalemyndighet

Gode råd til deg som stiller til valg

Hendelseshåndtering - organisering, infrastruktur og rammeverk

Sikkerhetsarbeid i GigaCampus. 7. september 2005 Per.A.Enstad@uninett.no

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Security Awareness Næringsforeningen 24. Februar 2015 Jens Kristian Roland Ernst Kristian Henningsen

Målselv Arbeiderpartis retningslinjer mot seksuell trakassering

Sikkerhet i virksomheter på Sørlandet. Nasjonal sikkerhetsdag 10. oktober 2017 Elisabeth Aarsæther

Mailorganisering. Sist oppdatert:

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

Nytt fra sekretariatet

WinTid Scheduler. Oppgradering til versjon HRM

Brukerveiledning for nedlastning og installasjon av Office Av Roar Nubdal, fagprøve IKT-servicefag, juni 2014

ELSIKKERHETS- SJEKKEN

Kompetansemål fra Kunnskapsløftet

Med Evernote opplever du raskt noen digitale funksjoner som monner Lær deg noe av det grunnleggende i bildebehandling

NASJONAL SIKKERHETSMYNDIGHET

1. Forord. Lykke til videre med beredskapsarbeidet.

Decision Support. Foretakenes svar

BEREDSKAPSPLAN. Hva gjør man når seksuell trakassering og seksuelle overgrep forekommer?

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

Anbefalinger om åpenhet rundt IKT-hendelser

Om søk, sikkerhet og nettvett. All tekst hentet fra HIB, "Digitale ferdigheter"

Velkommen til EDB på 123! Den som er kursansvarlig, har en viktig funksjon for at kurset skal bli vellykket.

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Beredskapsplan for #Regnskapsførervirksomheten etter God Regnskapsføringsskikk pkt IT-sikkerhet

Kjøre Wordpress på OSX

BEREDSKAPSPLAN SEKSUELL TRAKASSERING Nyeste oppdatering: 14. desember 2018 Neste oppdatering: 1. april 2019 Oppdatert av: Morten Jensen

KAPITTEL 5. HANDLINGSPLAN MOT VOLD

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Sak 02/06/18 Direktørs orientering. Drift og administrasjonsoppgaver. Besøksadresse Ringvegen Tromsø

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

SIKKERHET OG TILLIT Sentralt for å lykkes med digitalisering

Månedsrapport November/desember 2005

STOPP HAT HVORDAN STÅ OPP MOT HATPRAT? Stopp hatprat er en kampanje for menneske rettigheter og mot hatprat på nett.

Overordnet IT beredskapsplan

ROM TIL Å SNAKKE. Ungdom, konflikt og mangfold. Røde Kors

DET DIGITALE TRUSSELBILDET INNAN VA FYSISK SIKRING, DIGITALSIKRING OG MENNESKELEG PÅVERKNAD. Jon Røstum, sjefstrateg Powel

BRANNSTIGE 4,5M / 7,5M

GDPR ny personvernforordning. Styring via godt arbeid med informasjonssikkerhet

Vedlikehold av PC Av Hans Henrik Støvne

Til IT-ansvarlige på skolen

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

Hvis du får problemer eller ønsker mer hjelp til å gjøre dette, er Anders og Helene tilgjengelige for assistanse. Veiledning for Windows

Samfunnssikkerhetskonferansen 2013: «Det robuste Norge» 10. Januar Bjørn Otto Sverdrup, sekretariatsleder direktør Statoil

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

Risikovurdering for folk og ledere Normkonferansen 2018

Installasjonsveiledning

NTNU Retningslinje for operativ sikkerhet

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

UTS Operativ Sikkerhet - felles løft

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Sikkerhet på akkord med personvernet? NOU 2015: 13

8 myter om datasikkerhet. du kan pensjonere i

Samarbeid med pårørende

Transkript:

IRT-konsepter Hva handler hendelseshåndtering om? 2. mai 2017

Innhold Hvem er trusselaktørene og hva vil de? Hva kan vi gjøre for å hindre at de lykkes? Hva gjør vi hvis de likevel lykkes? 2

Tradisjonelt vern Fiendtlig utside, vennligsinnet innside Forsvarsverkene er gjerne innrettet mot å hindre at inntrengingsforsøk fra utsiden skal lykkes Denne modellen er under sterkt press! Truslene befinner seg fortsatt som oftest på utsiden, mens det som utløser en vellykket inntrenging gjerne befinner seg på innsiden Giftig e-post, ditto web-lenker og ubetenksomme brukere som klikker på dem Programvare av tvilsom opprinnelse eller kvalitet Får vi ikke levert uhumskhetene til deg, så får du komme og hente dem selv! 3

Trusselaktører Script-kiddies, [små]kriminelle DDoS Aktivister, hacktivists Defacing av websider Organisert kriminalitet Kryptolocker CEO fraud Industrispionasje Norske forskningsmiljøer er svært attraktive Nasjonalstater Behersker alle disipliner 4

Egenskaper og mål Trusselaktørene har et veldig stort spenn i hvilke ressurser de har til rådighet En statsaktør har selvsagt helt andre forutsetninger enn eksempelvis en script-kiddie Målene kan være ganske ulike Mestringsfølelse, det å kunne skryte av sine bragder til likesinnede Økonomisk vinning Informasjonsinnhenting Elektronisk krigføring Det trusselaktørene har til felles er at de ønsker å trenge inn i og overta kontrollen over IKT-systemer som kan komme dem til nytte før eller senere 5

Cyber Kill Chain 6

Hva kan vi gjøre for å hindre trusselaktørene i å lykkes? Etablere perimeterbeskyttelse Segmentering, pakkefilter, brannmur, epostvask Holde klientprogramvare oppdatert Apper, basis programvare og Antivirus Sørge for instrumentering for å få innsikt i hva vi utsettes for IDS, ulike tekniske analyseverktøy, logging Gjennomføre holdningsskapende arbeid Øve opp gode vaner med hensyn til oppførsel på nettet Dette er en oppgave som aldri blir ferdig! 7

Hvis ulykken likevel skulle være ute så er det best å være inne Det er meget viktig å på forhånd ha tenkt i gjennom hva du vil gjøre når du blir utsatt for et vellykket dataangrep Den absolutt verste fremgangsmåten du kan velge er full panikk, gjerne kombinert med innfallsmetoden «Seier venter den, som har alt i orden hell kaller man det. Nederlag er en absolutt følge for den, som har forsømt å ta de nødvendige forholdsregler i tide uhell kalles det» Roald Amundsen 8

Forslag til en strukturert tilnærming til hendelseshåndtering Kilde: SANS Institute 9

Seks primære faser 10

1. Forberedelser Mandat og policy Lage en responsplan Lage en kommunikasjonsplan (aktørkart, sambandskatalog) Lage et system for å lage og oppbevare dokumentasjon over hendelser Sette samme et team (basiskunnskaper, komplementære ferdigheter, spisskompetanse) Sørge for nødvendige tilganger til utstyr, nett og datalogger Skaffe hensiktsmessige verktøy Øvelse, øvelse, øvelse 11

2. Identifikasjon Er dette en virkelig hendelse? Ting er ofte ikke slik man kan få inntrykk av ved første øyekast Ikke hopp rett på konklusjoner! Ha is nok i magen til å undersøke saken fra flere sider/kilder før du foretar deg noe Hvis man står overfor en bekreftet sikkerhendelse: Varsle berørte parter Starte en tidsstemplet logg hvor du hele tiden prøver å finne svar på spørsmålene hvem, hva, hvor, hvorfor og hvordan 12

Seks primære faser 13

3. Skadebegrensning Formål: søke å minimalisere ødeleggelser og å hindre saken i å utvikle seg videre Kort sikt: Isolere et nettverkssegment, ta maskiner av nett, omrute til eventuelle standby-servere hvis slike finnes etc Ta nødvendige steg for å sikre bevis (backup, kopi av disk etc) Lang sikt: Vurdere om et skadet system temporært trygt kan fortsette produksjonen helt eller delvis til et skadefritt og robust system kan overta (i fase 5) 14

4. Opprydding Denne fasen omhandler faktisk sletting av de sårbarheter som er den direkte årsaken til angrepet ( root-cause ) Pass på at du får med deg all skadevare som er blitt installert slik at man ikke ender opp i fase 1 igjen! Dokumenter alt hva du gjør! Dels for innsiktens skyld og dels for å kunne beregne kostnader forbundet med hendelsen. Greit å ha i tilfelle politianmeldelse Tett eventuelle bakdører og hull i pakkefilter/brannmurer som bidro til at hendelsen kunne finne sted Dette er et godt tidspunkt til å vurdere om andre deler av virksomhetens forsvarsverk også bør endres eller forsterkes 15

5. Gjenoppretting Formål: bringe berørte systemer tilbake i produksjon på en måte som ikke umiddelbart fører til at en ny hendelse oppstår Ting som må besluttes/tas hensyn til: Når (dato, tid) systemene skal tas tilbake i produksjon. Dette er det systemeierens privilegium å bestemme Hvordan man skal verifisere at berørte systemer er rene og har full funksjonalitet? Hvilke verktøy man skal benytte for å gjennomføre forrige punkt? Er alle relevante sikkerhetsoppdateringer blitt utført? Hvor lenge skal man sove lensmannssøvn over systemene (dvs. holde et spesielt øye til dem)? 16

Seks primære faser 17

6. Hva har vi lært? Gjennomfør et møte som har til hensikt å fullføre dokumentasjon man (som regel) ikke rakk under selve hendelsen, samt å notere seg smarte ting man kan ha nytte av senere Husk: Hvem, hva, hvor, hvorfor og hvordan Når ble problemet først oppdaget og av hvem? Hva var omfanget av hendelsen? Hvordan foregikk skadebegrensning og sletting? Hva ble gjort i gjenopprettelsesfasen? Områder hvor IRT gjorde en god jobb Områder hvor IRT har rom for forbedring 18

Forhold til politiet Mye av det man håndterer i et IRT er saker som i utgangspunktet kan være ulovlige/straffbare Hvor terskelen ligger for å involvere politiet må vurderes i hvert enkelt tilfelle og er intimt knyttet opp mot sakens art, omfang og alvorlighetsgrad Ved anmeldelse bør man bruke en mal som er utviklet av KRIPOS UNINETT CERT har denne, eller man kan få den direkte fra politiet Politiet har makt til å gjøre som de vil, men det finnes formalia Ved utlevering av logger og materiale skal det foreligge en beslagsbegjæring! Ta vare på logger inntil en eventuell begjæring foreligger Dokumenter det som skjer, husk de 5 H-er ( hvem, hva, hvor, hvorfor og hvordan ) Vurder om dere skal ha tilgang til juridisk kompetanse 19

Saker som krever spesiell omtanke Utro tjener internt Sikre bevis (5 H-er) Varsle virksomhetens ledelse Funn av overgrepsmateriale Ved første kontakt STOPP ØYEBLIKKELIG og få med deg en teamkollega før du går videre - operer ALDRI alene Dokumenter alt som skjer, husk de 5 H-er! Når man har et bekreftet funn skal politiet varsles straks. De vil normalt ta saken videre herfra Hold ledelsen løpende orientert 20

Referanser Incident Handler s Handbook, SANS Institute https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook- 33901 21

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding