Procedure per la gestione degli incidenti

Procedure per la
gestione degli incidenti
Danilo Massa
GIAC GCIH, GCFA, GREM certified professional
Presentazione per
Torino 8 ottobre 2009
Agenda
◘ Introduzione
◘ Procedure per la gestione degli incidenti
◘ Audit
◘ Puntuale sulla procedura
◘ Assessment CobiT
◘ Esempio: malware
◘ Letture consigliate
◘ Domande e risposte
Introduzione
Procedure di Incident Handling
Sono definite per prevenire, individuare e gestire utilizzi errati
o abusivi di sistemi informativi e reti di comunicazione
La prima struttura per la gestione degli incidenti
è stata creata alla Carnegie Mellon University nel
1988 in seguito alla diffusione del primo worm
sulla rete internet
Robert Tappan Morris
Introduzione
Diversi tipi di incidenti da fronteggiare …
►
►
►
►
►
►
►
Intrusioni Hacker / Cracker
Infezioni da Malware
Attacchi DoS – Denial of Service
Accessi non autorizzati
Furti di Proprietà Intellettuale o informazioni aziendali
Errori umani del personale interno …
… molto altro
Introduzione
Primo passo:
Capire che “incidente” NON è solamente “attacco di hacker”
INCIDENTE: ogni deviazione da normale stato di rete o di
sistema che rechi o possa recare danno all’azienda
Aspetto fondamentale: identificare l’incidente
Identificato un incidente, è opportuno limitare i danni,
ma soprattutto operare affinché NON possano essere
interessati ulteriori sistemi/dispositivi/dati
Introduzione
Definizioni:
► Un Evento è una qualunque azione, automatica o
manuale, eseguita da un sistema ed in qualche
modo registrabile ed osservabile
► Un Incidente di Sicurezza è una violazione delle
policy di sicurezza (o la minaccia che tale violazione
stia per avvenire)
Nella gestione degli incidenti occorre essere precisi e
rigorosi. Quanto troveremo potrà essere portato in
tribunale come prova …
Introduzione
Ricapitolando …
Eventi – Es.
► Sequenza di boot di un sistema
► Crash di un sistema
► Rilevazione di pacchetti malformati su una rete
Incidenti – Es.
► Uso NON autorizzato di privilegi di sistema
► Uso NON autorizzato di account utenti
► Esecuzione di codice malevolo
Procedure per la gestione degli incidenti
► Computer Security Incident Handling guide – SP 800-61
► Procedura in 4 macro-fasi
► Fornisce esempi di checklist e scenari per esercitazioni
Preparation
Detection
and
Analysis
Containment
Eradication
Recovery
PostIncident
Activity
Procedure per la gestione degli incidenti
Preparation
Identification
► Corso SEC 504 – Hacker Techniques,
Exploits & Incident Handling
► 6 macro-fasi
► Enfasi sui possibili attacchi (interni o
esterni)
Containment
Eradication
Recovery
Lesson Learned
Procedure per la gestione degli incidenti
► Istruzioni per la creazione di un CSIRT
► 3 macro-fasi
► Enfasi sulla completa gestione degli
incidenti con un team dedicato
Audit
Come effettuare un audit:
► Seguire la procedura implementata (NIST, SANS, ...)
► Mappare la procedura sul COBIT
In entrambi i casi è bene sapere che tutte le procedure
tecniche di gestione degli incidenti prevedono l’esecuzione
di simulazioni (ma non ne è specificata la frequenza) …
Audit - procedure
Preparation
Preparation
Questa fase è propedeutica alla gestione degli
incidenti, deve necessariamente essere stata
eseguita da qualsiasi azienda che dichiari di
effettuare una “gestione degli incidenti”
Evidenze:
► budget allocato per l’IH
► procedura scritta, condivisa, pubblicata etc
► formazione specifica
► asset inventory, call list, war room
► strumenti tecnici specifici (jump bag, tool bag)
► software per la gestione dei ticket
► sistemi per la gestione/correlazione dei log
► VA/PT/RA periodici
Audit - procedure
Detection
and
Analysis
Identification
Questa fase è relativa all’analisi degli eventi di
sicurezza con lo scopo finale di identificare un
eventuale incidente
Evidenze:
► ticket di richiesta assistenza da help desk
► mail/telefonate da parte di utenti
► inserimento in black list/defacement list
► registrazioni degli eventi di sicurezza
► allarmi da sistemi automatici
► cheat sheet
► incident report (postumo)
Audit - procedure
Containment
Eradication
Recovery
Containment
Eradication
Recovery
Questa fase è relativa al contenimento e
rimozione dell’incidente e delle cause che lo
hanno generato
Evidenze:
► richieste/registrazioni attività di containment
► immagini di dischi, log, dump traffico di rete
► ricostruzione di sistemi
► recupero dati da backup
► attività specifica di hardening
► extra monitoring report (recovery)
► incident report (postumo)
Audit - procedure
PostIncident
Activity
Lesson Learned
Questa fase è necessaria per chiudere l’incidente,
indicare le azioni da eseguire per evitare che
accada nuovamente e per (eventualmente)
migliorare la preparazione per gestire incidenti
analoghi
Artefatti:
► verbale di riunione
► incident report
► executive report (per il management)
► linee guida per l’eventuale hardening
► suggerimenti per il futuro
► eventuale aggiornamento della procedura
► eventuale aggiornamento degli strumenti
Audit - CobiT
I controlli relativi alle procedure
per la gestione degli incidenti sono
distribuiti su tutto il framework
CobiT
►
►
►
►
Plan and Organize
Acquire and Implement
Deliver and Support
Monitor and Evaluate
Audit - CobiT
Deliver and Support
DS8 Manage Service Desk and Incidents
► 8.3 Escalation dei problemi e degli incidenti
► 8.4 Modalità di chiusura degli incidenti
► 8.5 Reporting ed analisi dei trend
DS10 Manage Problems
► 10.1 Identificazione, classificazione
► 10.2 Problem tracking e risoluzione
► 10.3 Modalità di chiusura dei problemi
► 10.4 Sistemi di configuration/incident/problem management
Esempio: malware
Melissa – WORM
- Sviluppato da David L. Smith
- Individuato “in the wild” nel marzo 1999
- Diverse varianti più o meno dannose
Modalità di diffusione:
► mail (prelievo indirizzi da Outlook)
► apertura file MS Word (97, 2000, 2003)
► apertura file MS Excel (97, 2000, 2003)
Esempio: malware
Evidenze procedura di IH:
Identification
► segnalazione mediante mail/ticket relativa a
mail con subject strano e strani allegati
► log mail server con anomali invii di mail
Containment
► arresto server di posta/share condivise
Eradication
► forzatura aggiornamento firme antivirus
► scansione manuale dei file server
Recovery
► monitoring server di posta
► monitoring antivirus file server/client
Esempio: malware
Evidenze procedura di IH:
► Incident report (di natura tecnica, descrive
tutte le attività eseguite nelle fasi di gestione)
► Executive report (orientato al business,
descrive gli impatti dell’incidente sull’operativitià
dell’azienda e la sintesi delle operazioni di
gestione effettuate)
Letture consigliate
► Security Incident Management
(ed. ISACA)
► NIST SP 800-61 K. Scarfone
T. Grance K. Masone (ed. NIST)
► Deliverable 2006/5.1
(ed. ENISA)
Domande e risposte
Domande e risposte