Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

CERT-SE växer. Nu finns två jobbannonser ute: it-säkerhetsspecialist och junior systemadministratör.

Publicerad

Checklista

Här är en checklista med ordningsföljd över de olika stegen i delprocessen.

Frågebatteri

Ställ dessa plus de "viktigaste frågorna"

  • Vilken tidzon har drabbad?
  • Vill de dela med sig av info kring attacken till andra som har drabbats av samma/liknande attack(er)?
  • Vill de dela med sig av info, erfarenheter eller loggar till betrodd tredje part (EGC, FIRST)?
  • Finns det loggar från nätverk eller drabbat system?
  • Vad är det för typ av attack?
  • Går det att blockera trafik i router eller brandvägg?
  • Vad har organisationen gjort för att att begränsa/avbryta attacken?
  • Är någon ISP kontaktad?
  • Är någon CERT kontaktad?
  • Är systemet en del i ett "outsourcing"-avtal?

Loggar

  • Sätta upp en sniffer snarast (rekommendera att spela in trafiken)

Samla in alla typer av relevanta loggar

  • ISP-loggar
  • FW-loggar
  • Routerloggar
  • Flow-data
  • Andra typer av loggar?

Analysera loggar

  • Ta fram information om IP-adresser för att senare används vid Notice & Takedown
  • Analysera tillvägagångssätt och trafikflöden

Notice and takedown

Kontakta:

  • ISP:er
  • NSP-SEC
  • EGC
  • FIRST
  • Övriga CERT:ar eller organistaioner med ansvar för inblandade IP-adresser

Åtgärder

Här är en länk till åtgärder från dokumentet Begränsa DDoS

Efterforskning

Köra IP-adresser som har förekommit i loggarna mot några av följande system/platser:

  • Shadowserver - leta efter IP:n
  • Googla IP-adresser
  • Passive-DNS
  • RBL-listor