Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon. Margrete Raaum (MIS) FIRST SC og UiO-CERT

Like dokumenter
UiO IN2120 høst 2019 Incident Response and Forensics - Forslag til svar på caseoppgave. Frode Lilledahl

HÅNDTERING AV NETTANGREP I FINANS

IRT-konsepter. Hva handler hendelseshåndtering om? 2. mai 2017

Avvikshåndtering og egenkontroll

HENDELSESHÅNDTERING HVORDAN HÅNDTERE DATAINNBRUDD? NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Hvordan stå bedre rustet mot et målrettet angrep Watchcom Security Group AS

«State of the union»

Hendelser skjer - hvordan håndterer vi dem?

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

SENTRALISERT OG SIKKER DRIFT AV WINDOWS KLIENTER OG TILKNYTTET MASKINVARE

3.1 Prosedyremal. Omfang

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

TRUSLER, TRENDER OG FAKTISKE HENDELSER

Det digitale trusselbildet Sårbarheter og tiltak

Overordnet IT beredskapsplan

Operativ Sikkerhet. Nett- og infrastruktursamling Per Arne Enstad, UNINETT

Hendelseshåndtering - organisering, infrastruktur og rammeverk

Metoder og verktøy i operativt sikkerhetsarbeid

IRT-konsepter. Hva handler hendelseshåndtering om? 14. januar 2019

Sikkerhet ved outsourcing. Espen Grøndahl IT-sikkerhetssjef UiO

Hvordan være lur. Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef

VI BYGGER NORGE MED IT.

Incident Response and Forensics

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Hvordan finne og realisere riktig IT-sikkerhetsnivå i din virksomhet? Arild S. Birkelund

Rikets tilstand. Norsk senter for informasjonssikring. Telenor Sikkerhetssenter TSOC

Varsling. Alvorlighetsgrad av hendelse vil kunne påvirke varslingshiearkiet. Leder / turleder / vertskap / hyttevakt

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

MØRKETALLSUNDERSØKELSEN 2010

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Virus på Mac? JA! Det finnes. Denne guiden forteller deg hva som er problemet med virus på Mac hva du kan gjøre for å unngå å bli infisert selv

Tilsiktede uønskede handlinger

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Planlegging og iverksetting av sikkerhetsavhengige tjenester i forskjellige systemer

CYBER-TRUSSELEN. Finans Norge seminar om operasjonell risiko 5. September Morten Tandle, daglig leder FinansCERT Norge AS/Nordic Financial CERT

EGA Svar på spørsmål, oppdatert pr

en arena for krig og krim en arena for krig og krim?

Brudd på personopplysningssikkerheten

Bergvall Marine OPPGAVE 3. Jon Vegard Heimlie, s Vijitharan Mehanathan, s Thore Christian Skrøvseth, s171679

FÅ KONTROLL PÅ DE USTRUKTURERTE DATAENE

Hvordan høy brukerbevissthet kan redde en virksomhet Watchcom Security Group AS 1

Beskyttelsesteknologier

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Nettbank - trygg og sikker bruk

Digital svindel. Hva er det og hvordan kan vi beskytte oss mot det?

Daily2. Tor Fuglerud USIT/ UIO

Vår digitale sårbarhet teknologi og åpne spørsmål

Spamfree. Security Services Tjenestebeskrivelse. Eier: Sissel Joramo Agent: Atle Rønning Tekniker: Designer:

Velkommen til fagsamling

HØGSKOLEN I SØR-TRØNDELAG

Innhold: Hva skjer med driftskontroll når n r IT blir en tjeneste i skyen? Innhold: IT vs Driftskontrollsystemer:

Nytt regelverk, nye muligheter og masse avviksmeldinger!

IT-sikkerhet ved outsourcing. 27. mars 2007 Tor Erik Masserud IT-Sikkerhetssjef

Hvordan kan vi utvikle og etablere sikrere løsninger? Kasus: for mobiltelefoner og nettbrett

Hva kan vi gjøre med det da?

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

GÅRSDAGENS TEKNOLOGI

NASJONAL SIKKERHETSMYNDIGHET

SIKKERHETSINSTRUKS - Informasjonssikkerhet

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Retningslinjer for vold, trusler og trakassering

Sjekkliste for sikker og effektiv Mac-bruk

UTS Operativ Sikkerhet - felles løft

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Det juridiske fakultet Universitetet i Oslo

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

1 Våre tiltak. Norsk Interaktivs arbeid med personvern

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

Etterlevelse av personvernforordningen (GDPR) sett opp mot ISO hva er nytt/viktig? Anders Bergman Greenfinger AB

Avviksbehandling. håndtering av avvik. Virksomhetens leder/ledelse Forskningsansvarlig Prosjektleder forskning Sikkerhetsleder

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

STYRESAK. Styremedlemmer Helse Fonna HF GÅR TIL: FØRETAK: DATO:

Personvern og informasjonssikkerhet

Søknadsskjema etter finansforetaksforskriften 3-2

Her kan du lese om forskjellige tilgangsområder, passord, utlogging og tilslutt en gjennomgang av hvordan man håndterer skrivere.

Foretakets navn : Dato: Underskrift :

Platinaregelen. Den gyldne regel: Platinaregelen: Vær mot andre som du vil at de skal være mot deg. som DE vil at du skal være mot dem

Policy for informasjonssikkerhet og personvern i Sbanken ASA

November Internkontroll og styringssystem i praksis - Aleksander Hausmann

Kommunens Internkontroll

Spørreundersøkelse om informasjonssikkerhet

XEROX SIKKERHETSBULLETIN XRX Sårbarheten i http-serveren på ESS/nettverkskontrolleren kan potensielt tillate uautorisert tilgang.

Databehandleravtale for NLF-medlemmer

Vedlegg 1. Kravspesifikasjon. Løsning for sikkerhetskopiering og gjenoppretting av data

Håkon Olsen Overingeniør Lloyd s Register Consulting

To-kampus: En visjon i sør

NorCERT og NorSIS hvem er vi? IKT trusselbildet Tiltak og holdningsskapende arbeid. Hva er NorCERT?

IKT-reglement for NMBU

Behovet for formalisering/etablering av institusjonsvise responsteam (IRT) i sektoren

Det gjør ikke noe om jeg blir hacket for jeg har ingenting å skjule

Transkript:

Post mortem-erfaringer fra incident response -om å gjøre det beste ut av en dårlig situasjon Margrete Raaum (MIS) FIRST SC og UiO-CERT Incident response En organisert og konsistent måte å håndtere sikkerhetshendelser Man ønsker å minimere skaden (datatap eller -lekkasje) Man ønsker å minimere kostnadene (gjenoppretting eller rykteskader) Man ønsker å finne ut hva som har skjedd samtidig som man vil ha tjenesten opp på beina igjen Man kan sørge for kontinuerlig forbedring Man får derfor også naturlig en funksjon som kontroller

Hva er en sikkerhetshendelse? Forsøk på å få uautorisert adgang til et system eller data, enten dette er vellykket eller ei Uønskede avbrudd, eller «tjenestenekt» (DoS) Uautorisert bruk av et system for databehandling eller -lagring Endring av et systems hardware, firmware eller softwarekonfigurering uten eiers samtykke Forsøk på å få uautorisert adgang til et system eller data, Hvor veldefinert er autorisasjonen eller mangel på sådan? Hvor mange forsøk er fortsatt uskyldige forsøk? Er det OK å prøve seg hvis det er for å avsløre dårlig sikring eller mangel på en eller annen policy? Hva med «the hacker defense»?

Uønskede avbrudd, eller «tjenestenekt» (DoS) Konfigurasjonsfeil eller programmeringsfeil Vanskelig å avgjøre om man har med et angrep å gjøre utviklingen går mot å kalle det DDoS fordi det er noen andres feil og er mye omtalt På hvilket punkt skal man si «dette er en incident»? Dette er nøkkelspørsmålet! Uautorisert bruk av et system for databehandling eller -lagring Gmail, facebook og sommerbilder. Er det OK å bruke jobbmaskiner til lagring fordi da får man backup? Er det OK å benytte regnekraft som ikke er i bruk?

Endring av et systems hardware, firmware eller softwarekonfigurering uten eiers samtykke Dette burde være klart så lenge eierskapet er klart. IRT oppstart: policies Hvem er du ansvarlig overfor og hvordan er deres innflytelse? Problemer i horisonten om de sitter lavt i organsisjonen. Regler Lover Forskrifter Må dra i samme retning og ikke motsi hverandre AUP (IT-reglementet) Må være forståelige for alle

IRT-oppstart: organisatoriske smerter Dersom man tar over ansvar som noen andre allerede føler eierskap til så vil organisasjonen gå gjennom faser som beskrevet i Raaum-Grøndahl modellen Raaum-Grøndahl-modellen ;-) Sjokk Sikkerhetifisering Motstand Disclaimer Kamp Akseptanse Passivhet

Hvorfor er organisatorisk plassering så viktig? Man vil gjerne unngå at driftsoppgaver spiser timer Ha makt til å få gjennom sikkerhetsendringer selv om de medfører merarbeid Kunne styre hendelseshåndtering, både for å ha riktig og nok kompetanse og for å unngå bevisforspillelse Klok av skade Man bør ha retten til å avgjøre alvorlighetsgrad (fra liten/stor incident til katastrofe) Nøkkelkvalifikasjoner for CERT-personellet Teknisk flink på sitt fagområde Personlige kvalifikasjoner alle må ha: rolig, tålmodig, god fantasi, ryddig, diskret. Noen må i tillegg ha lederegenskaper, og noen må være god med folk (brukere, drift og toppledelsen) Teknisk kunnskap er viktig for for eksempel forensics eller en penetrasjonstest, men uten koordinasjon under håndteringen og god sluttdokumentasjon er det ikke nok.

Håndteringsprosessen Viktig å være kjent i organisasjonen og kjent for å kunne bistå Rapporteringsrutinene må være enkle og ikke-irriterende Raske og beroligende svar Triage tidskritisk fase Lekker vi informasjon? Sprer hendelsen seg? Trenger man memory dump? Kan vi finne ut hvem som står bak? Titan: en død kjempe Det vi håndterer (alle gjør ikke alt) Deteksjon (logger: maskiner, rutere, netflow, DNS...) Phishing (honningbrukere) & svindel Botnet Malware Rogue programvare installert av folk her på bruket Kompromitterte servere (forensics) Nettverksdesign, produktevaluering, PGP support Informasjonslekkasjer Saker som man ikke vet om skal anmeldes eller ei (avhengig av alvorlighetsgrad), men ting kan ikke «uobserveres». Risikoanalyse

Post mortem og kontinuerlig forbedring Man ønsker å benytte enhver hendelse til en positiv input på et eller annet sted Vanlige feller Prøve å dekke over at man har hatt hendelser La selvgodheten eller flauhetens slør legge seg over hendelsen etter endt håndtering Ikke sette av nok tid til post mortem

Hvilke deler av prosessen kan forbedres? Alle.

Kontaktpunkter Skjema eller ei Kildeverifisering Tilbakemelding Er det en sikkerhetshendelse Hva er omfanget? Hvem er berørt

Er organisasjonen og rutinene på plass Skjønner vi hva vi ser? Inngrep må stå i forhold til hendelsen Gjenoppretting Backup? Manuell rensing? Motarbeide misforståelse hos folk flest og ikke minst hos pressen (jfr «innbrudd i houston») Overbevise om at man har lært noe av hendelsen utad

«Dette skulle ikke skjedd» Rutineendriner Kontroller for deteksjon Sikring for å unngå hendelsen (jfr skriverne)

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding