Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och systemadministratör.

Publicerad

Sammanfattning av de fem stegen i CERT-SE:s incidenthanteringsprocess

Allmänt

Det här är ett samlingsdokument som i korthet beskriver CERT-SE:s incidenthanteringsprocess, som består av fem steg:

FörebyggaIdentifieraBegränsaÅterställaErfarenheter

Dokumentet beskriver i stora drag viktiga saker att tänka på, samt öppnar för en del frågor en organisation kan ställa sig vid en eventuell incident.

Här under listas inte alla steg eller detaljer inom incidenthanteringsprocessen (snarare ett axplock från varje delprocess). De listas i separata dokument för respektive delprocess.

Alla delprocesser behandlas helt separat och fungerar som egna entiteter. Eftersom incidenthanterare kan kallas in i en incident under t.ex. identifiera-fasen, så måste den processen vara fullständig i sig själv och inte bero på tidigare delprocesser.

1. Förebygga - Vad gör vi innan det händer?

Här behandlas förberedande åtgärder utifrån ett organisations- och teknikperspektiv.

Följande punkter behandlas bland annat:

  • Eskaleringsrutiner

  • IT-säkerhetspolicys

  • Ansvar & Mandat

  • Etablering av kontakter och kontaktlistor

  • Kommunikationsplan

  • Tekniska förberedelser

Vad kan CERT-SE bidra med?

  • Rådgivning
  • Information

2. Identifiera - Vad har hänt?

I den här delprocessen behandlas insamling samt analys av information och data för avgörande om en incident har inträffat.

Följande punkter behandlas bland annat:

  • Informationsinsamling genom frågor
  • Datainsamling
  • Genomgång av checklistor för upptäckt
  • Analys av information och data

Vad kan CERT-SE bidra med?

Insamling av information

Insamling av data

Analys av information och data

Rekommendationer av metoder och program

Länkar till mer information

Kontaktinformation till externa aktörer inom området

Inhämtning samt analyser av information via CERT-SE:s omvärldsbevakningsprocess (MolluskNG) som bevakar sårbarheter, angrepp, komprometterade maskiner från informationskällor som t.ex:

  • Leverantörer av mjuk-/hårdvara

  • IT-säkerhetsleverantörer

  • Flashback

  • E-postlistor

3. Begränsa - Vad?, Hur?, När?, Var?, Vem?

Här behandlas isolering och avbrott av pågående attack, minimering av spridning samt insamling av bevis för vidare analys.

Följande punkter behandlas bland annat:

  • Informationsinsamling genom frågor
  • Isolering av systemet, avbrott av attacken
  • Råd och rekommendationer kring motgrepp och konsekvenser
  • Insamling av bevis
  • Genomgång av checklistor för analys av insamlat data
  • Insamling av information om förövaren

Vad kan CERT-SE bidra med?

  • Insamling av information

  • Insamling av data

  • Analys av information och data

  • Råd och rekommendationer

  • Länkar till mer information

  • Kontaktinformation till externa aktörer inom området

4. Återställa - Hur undviker vi att det sker igen?

I den här delprocessen behandlas frågor kring vad som krävs för att få tillbaka system till produktionsnivå samt tillvägagångssätt för att undvika incidenter i framtiden.

Följande punkter behandlas bland annat:

  • Avlägsna infekterat data eller installera om hela systemet?
  • Verifiering av backup
  • Återställning från backup
  • Förberedelser för framtida analyser
  • Härdning av system
  • Sårbarhetstester av system
  • Återställning av funktioner
  • Övervakning av system
  • Dokumentation

Vad kan CERT-SE bidra med?

  • Rådgivning

  • Checklista

  • Rekommendationer kring återställande av system

  • Länkar till mer information

5. Erfarenheter - Vad har vi lärt oss utifrån incidenten?

Här behandlas erfarenheterna från en incident, hur kan vi ta lärdom av erfarenheterna för användning i förberedande syfte.

Följande punkter behandlas bland annat:

  • Vad hände?

  • Hur kunde det hända?

  • Hur kunde det ha undvikits?

  • Vad kunde ha gjorts bättre?

  • Genomgång av rutiner och policys

  • Kontakter och samarbete

  • Större systemförändringar

  • Förändringar i skalskydd

Vad kan CERT-SE bidra med?

  • Rådgivning

Några viktiga punkter att tänka på vid en eventuell incident

  • Först av allt, reagera inte i panik. Försök att behålla lugnet och kylan för att underlätt analys av situationen.

  • Dokumentera allt som är relevant. Vem har gjort vad, vilka kontakter som tagits, vilka åtgärder som tagits samt tidpunkter för dessa. Detta underlättar sammanställningen av en rapport.

  • Kommunicera inte över nätet, t ex via e-post, för att rapportera en inträffad händelse. Tänk på att kommunikationen kan vara avlyssnad.

  • Kontakta ”rätt” person i organisationen. Alla bör känna till vilka personer (samt deras roll och ansvarsområden) som finns tillgängliga för att hantera olika former av incidenter.

  • Vid en incident är det viktigt att all berörd personal känner till hur situationen skall hanteras (vad som ska göras). Detta är främst baserat på att felaktig hantering i vissa fall kan förvärra skadan och försvåra utredningar.

  • Försök att begränsa skadan. Om det är möjligt, isolera den aktuella miljön.

  • Kontrollera vilka system som loggar, t ex brandvägg, IDS, syslog-server.

  • Undvik att skapa avtryck på det drabbade systemet t ex genom att använda statiska binärer från en live-CD som t.ex. HELIX. Det är omöjligt att inte lämna några avtryck vid en analys av ett live-system, därför är det av stor vikt att dokumentera det som görs, för användning vid en eventuell rättslig process.

De viktigaste frågorna som bör ställas oavsett vilket skede incidenthanterare kommer in i en incident.

Vid en första kontakt med en intressent som har råkat ut för en misstänkt incident så är det några frågor som incidenthanterare bör få svar på. De viktigaste är listade nedan. Dessa frågor är i många fall avgörande för fortsatt hantering av incidenten.

  • Vad har hänt, hur och när upptäcktes problemet?

  • Vilka åtgärder har gjorts?

  • Är incidenten fortfarande pågående, kan data läcka ut?

  • Vad vill organisationen ha hjälp med?

  • Vilka har organisationen kontaktat?

  • Kan organisationen tänka sig att dela med sig av information, data eller loggar till tredje part eller andra drabbade organisationer?

  • Vill organisationen polisanmäla incidenten?