Procedure per la gestione degli incidenti
Transcript
Procedure per la gestione degli incidenti
Procedure per la gestione degli incidenti Danilo Massa GIAC GCIH, GCFA, GREM certified professional Presentazione per Torino 8 ottobre 2009 Agenda ◘ Introduzione ◘ Procedure per la gestione degli incidenti ◘ Audit ◘ Puntuale sulla procedura ◘ Assessment CobiT ◘ Esempio: malware ◘ Letture consigliate ◘ Domande e risposte Introduzione Procedure di Incident Handling Sono definite per prevenire, individuare e gestire utilizzi errati o abusivi di sistemi informativi e reti di comunicazione La prima struttura per la gestione degli incidenti è stata creata alla Carnegie Mellon University nel 1988 in seguito alla diffusione del primo worm sulla rete internet Robert Tappan Morris Introduzione Diversi tipi di incidenti da fronteggiare … ► ► ► ► ► ► ► Intrusioni Hacker / Cracker Infezioni da Malware Attacchi DoS – Denial of Service Accessi non autorizzati Furti di Proprietà Intellettuale o informazioni aziendali Errori umani del personale interno … … molto altro Introduzione Primo passo: Capire che “incidente” NON è solamente “attacco di hacker” INCIDENTE: ogni deviazione da normale stato di rete o di sistema che rechi o possa recare danno all’azienda Aspetto fondamentale: identificare l’incidente Identificato un incidente, è opportuno limitare i danni, ma soprattutto operare affinché NON possano essere interessati ulteriori sistemi/dispositivi/dati Introduzione Definizioni: ► Un Evento è una qualunque azione, automatica o manuale, eseguita da un sistema ed in qualche modo registrabile ed osservabile ► Un Incidente di Sicurezza è una violazione delle policy di sicurezza (o la minaccia che tale violazione stia per avvenire) Nella gestione degli incidenti occorre essere precisi e rigorosi. Quanto troveremo potrà essere portato in tribunale come prova … Introduzione Ricapitolando … Eventi – Es. ► Sequenza di boot di un sistema ► Crash di un sistema ► Rilevazione di pacchetti malformati su una rete Incidenti – Es. ► Uso NON autorizzato di privilegi di sistema ► Uso NON autorizzato di account utenti ► Esecuzione di codice malevolo Procedure per la gestione degli incidenti ► Computer Security Incident Handling guide – SP 800-61 ► Procedura in 4 macro-fasi ► Fornisce esempi di checklist e scenari per esercitazioni Preparation Detection and Analysis Containment Eradication Recovery PostIncident Activity Procedure per la gestione degli incidenti Preparation Identification ► Corso SEC 504 – Hacker Techniques, Exploits & Incident Handling ► 6 macro-fasi ► Enfasi sui possibili attacchi (interni o esterni) Containment Eradication Recovery Lesson Learned Procedure per la gestione degli incidenti ► Istruzioni per la creazione di un CSIRT ► 3 macro-fasi ► Enfasi sulla completa gestione degli incidenti con un team dedicato Audit Come effettuare un audit: ► Seguire la procedura implementata (NIST, SANS, ...) ► Mappare la procedura sul COBIT In entrambi i casi è bene sapere che tutte le procedure tecniche di gestione degli incidenti prevedono l’esecuzione di simulazioni (ma non ne è specificata la frequenza) … Audit - procedure Preparation Preparation Questa fase è propedeutica alla gestione degli incidenti, deve necessariamente essere stata eseguita da qualsiasi azienda che dichiari di effettuare una “gestione degli incidenti” Evidenze: ► budget allocato per l’IH ► procedura scritta, condivisa, pubblicata etc ► formazione specifica ► asset inventory, call list, war room ► strumenti tecnici specifici (jump bag, tool bag) ► software per la gestione dei ticket ► sistemi per la gestione/correlazione dei log ► VA/PT/RA periodici Audit - procedure Detection and Analysis Identification Questa fase è relativa all’analisi degli eventi di sicurezza con lo scopo finale di identificare un eventuale incidente Evidenze: ► ticket di richiesta assistenza da help desk ► mail/telefonate da parte di utenti ► inserimento in black list/defacement list ► registrazioni degli eventi di sicurezza ► allarmi da sistemi automatici ► cheat sheet ► incident report (postumo) Audit - procedure Containment Eradication Recovery Containment Eradication Recovery Questa fase è relativa al contenimento e rimozione dell’incidente e delle cause che lo hanno generato Evidenze: ► richieste/registrazioni attività di containment ► immagini di dischi, log, dump traffico di rete ► ricostruzione di sistemi ► recupero dati da backup ► attività specifica di hardening ► extra monitoring report (recovery) ► incident report (postumo) Audit - procedure PostIncident Activity Lesson Learned Questa fase è necessaria per chiudere l’incidente, indicare le azioni da eseguire per evitare che accada nuovamente e per (eventualmente) migliorare la preparazione per gestire incidenti analoghi Artefatti: ► verbale di riunione ► incident report ► executive report (per il management) ► linee guida per l’eventuale hardening ► suggerimenti per il futuro ► eventuale aggiornamento della procedura ► eventuale aggiornamento degli strumenti Audit - CobiT I controlli relativi alle procedure per la gestione degli incidenti sono distribuiti su tutto il framework CobiT ► ► ► ► Plan and Organize Acquire and Implement Deliver and Support Monitor and Evaluate Audit - CobiT Deliver and Support DS8 Manage Service Desk and Incidents ► 8.3 Escalation dei problemi e degli incidenti ► 8.4 Modalità di chiusura degli incidenti ► 8.5 Reporting ed analisi dei trend DS10 Manage Problems ► 10.1 Identificazione, classificazione ► 10.2 Problem tracking e risoluzione ► 10.3 Modalità di chiusura dei problemi ► 10.4 Sistemi di configuration/incident/problem management Esempio: malware Melissa – WORM - Sviluppato da David L. Smith - Individuato “in the wild” nel marzo 1999 - Diverse varianti più o meno dannose Modalità di diffusione: ► mail (prelievo indirizzi da Outlook) ► apertura file MS Word (97, 2000, 2003) ► apertura file MS Excel (97, 2000, 2003) Esempio: malware Evidenze procedura di IH: Identification ► segnalazione mediante mail/ticket relativa a mail con subject strano e strani allegati ► log mail server con anomali invii di mail Containment ► arresto server di posta/share condivise Eradication ► forzatura aggiornamento firme antivirus ► scansione manuale dei file server Recovery ► monitoring server di posta ► monitoring antivirus file server/client Esempio: malware Evidenze procedura di IH: ► Incident report (di natura tecnica, descrive tutte le attività eseguite nelle fasi di gestione) ► Executive report (orientato al business, descrive gli impatti dell’incidente sull’operativitià dell’azienda e la sintesi delle operazioni di gestione effettuate) Letture consigliate ► Security Incident Management (ed. ISACA) ► NIST SP 800-61 K. Scarfone T. Grance K. Masone (ed. NIST) ► Deliverable 2006/5.1 (ed. ENISA) Domande e risposte Domande e risposte