Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker en verksamhetschef till CERT-SE, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 14 april.

Publicerad

Återställa Intrång - Hur undviker vi att det sker igen?

I den här delprocessen behandlas frågor kring vad som krävs för att få tillbaka system till produktionsnivå samt tillvägagångssätt för att undvika incidenter i framtiden.

Följande punkter behandlas:

Avlägsna

Förhindra

Återställa

Återställa system

Återställning av system handlar till stora delar om att säkerställa att systemet fungerar som det gjorde innan incidenten, att alla användarkonton är återställda, att användare kan logga in på systemet, att tidigare funktioner är återställda och fungerar tillfredställande.

Det handlar även om att säkerställa att systemet är skyddat så att incidenten inte kan ske igen. Dessutom handlar det om att förebygga att andra incidenter inte kan inträffa samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.

Vad kan CERT-SE bidra med?

  • Rådgivning

  • Checklista

  • Rekommendationer kring återställande av system

  • Länkar till mer information

Den här delprocessen innehåller tre underliggande processer:

  • Avlägsna – behandlar ominstallation eller borttagning av infekterat data

  • Förhindra – härda, säkerhetsgranskning och övervakning av systemet

  • Återställa – ta tillbaka systemet till full funktionalitet och nätverksaccess

Förutsättningar och terminologi

Den här delprocessen förutsätter att organisationen har en fungerande backup-rutin samt att all datainsamling som behövs göras är gjord..

HIDS - Host Based Intrusion Detection (lokal intrångsdetektering)

NIDS – Network Intrusion Detection System

IPS – Inrusion Prevention System

Insamling av information från situationen

Genomgång av frågor kring den eventuella incidenten för att analysera läget och fastställa vilka åtgärder som är vidtagna eller inte.

  • På vilket sätt kan organisationen ta lärdom av angreppet inför återställning av systemet?

  • Kan organisationen säkerställa att incidenten inte kan inträffa igen?

  • Vad var det för typ av incident som drabbade systemet (kan ha bäring när man ska välja mellan total ominstallation eller rensning av infekterade filer)?

Några viktiga delar som bör beaktas vid återhämtning av system

  • Ta tillvara lärdomen av incidenten och använd vid återställning för att förhindra att det sker igen..

  • Se till att det återhämtade systemet granskas av en säkerhetsinstans och testas innan det tas i bruk.

Informera

Vet de som behöver veta? *Är rätt personer informerade om incidenten?*

Det är inte säkert att hela organisationen behöver veta att incidenten har inträffat. Informera de rätta personerna är ett steg i att se till att hanteringen sker som det är tänkt genom hela incidenten. Meddela systemägare, berörda användare, kunder, berörda gäster samt tomstående organisationer som är beroende av systemet att det är nedtaget för granskning och nyinstallation.

Installationsrutiner

Det är av vikt att sätta upp rutiner för installationer av system inom organisationen. Att upprätta en säkerhets- och kontrollinstans som går igenom systemet för att säkerställa att installationen följer rutinen innan det tas i bruk är en god idé.

Att klassificera systemen inom organisationen är ett sätt att sortera ut vilka system som t.ex. behöver access till Internet, skyddsåtgärder i form av antivirus-programvaror, lokala brandväggar, eller tillgänglighet för användare m.m.

Dokumentation av system/händelseförlopp

En tillförlitlig dokumentation över hela systeminstallationen är av största vikt. Den bör speciellt tala om vilka tjänster som är installerade samt vilka användare & grupper som skall finnas i systemet. Det är information som kommer att visa sig ovärderlig i en forensisk undersökning. Det är en fördel om dokumentationen går att nå i form av olika format, både digitalformat samt papperskopior.

Avlägsna

Här listas några organisatoriska aspekter som bör tas hänsyn till.

Besluta om avlägsnande eller total ominstallation

Behövs hela systemet installeras om?

Systemet kan vara drabbat av så kallade ”kernel level rootkits” som är väldigt svåra att upptäcka. Dessutom kan de dölja all kommunikation som sker till och från dem. Det är onödigt att chansa på att något sådant finns kvar i systemet.

Det bör också poängteras att vissa fall är det nästan omöjligt att installera om hela systemet. Till exempel kan ett E-handelssystem byggd på en klusterlösning med flera lastbalanserare, webbservrar, applikationsservrar, databaser vara svårt och vädigt tidskrävande att installera om på nytt. Dessutom kan organisationen eventuellt förlora stora inkomster beroende på tiden det tar innan systemet har återställts till sitt fulla bruk.

Återställning från backup samt backup-rutiner

En av de viktigare delarna i återställandet av det drabbade systemet är bra backup-rutiner. Rutinerna är avgörande för hur lång återställningstiden blir. Se över säkerhetskopior som är tagna under tiden för incidenten, det kan finnas smittat data, trojaner eller virus som inte får återställas i systemet vid en total nyinstallation. Det gäller att hitta den senaste ”rena” säkerhetskopian av systemet inför återställning av systemet.

Förberedelser för framtida analyser

Skriva över hårddisk med detekterbart data (nollor)

  • Det är en fördel att fylla hårddiskar med nollor eller liknande tecken innan installation av operativsystem för att enklare kunna avgöra, hur djupt ner i hårddiskens lager organisationen måste söka efter bevis. Programmet dd kan användas och finns både för Unix, Windows och kan användas på följande sätt i Linux:

    $ dd if=/dev/zero of=/dev/hda bs=1M

Lokal intrångsdetektering

  • Att installera lokal intrångsdetektering (HIDS) underlättar för upptäckt av intrång eller andra incidenter . HIDS kan upptäcka förändringar i filsystem, Internetuppkopplingar, access till registret m.m.

Kontroll av checksummor på binärer

  • Jämföra checksummor från installationsmedia med de som installerats i operativsystemet kan förhindra att trojaniserade versioner har installerats.

Central loggserver

  • Skicka all typ av loggning till en central loggserver kan säkerställa att inga loggar blir raderade eller försvinner vid en incident.

Förhindra

För att förhindra framtida angrepp och intrång i systemet så krävs det att systemet härdas. Här ges några förslag på vad som kan göras.

Installation av antivirusprogramvara

  • Installera en antiviruslösning som uppdateras kontinuerligt.

Installera säkerhetsuppdateringar

  • Säkerställa att de senaste versionerna av programvaror och säkerhetsuppdateringar installerats i systemet.

Dokumentera ominstallationen

  • Det är viktigt att dokumentera ominstallationen i förberedande syfte, det underlättar enormt om en liknande incident inträffar igen.

Härda operativsystemet

  • Stänga av de tjänster som inte ska vara startade i systemet för att minimera risken att maskinen ”publicerar” lyssnande portar som eventuellt är sårbara. Det finns också ett antal programvaror som kan härda operativsystemet om organisationen så önskar.

  • Installera säkerhetsuppdateringar

  • Installera lokal brandvägg som bör aktiveras innan maskinen kopplas upp på något nätverk. Tidsramen innan en maskin kan attackeras och smittas med virus eller trojaner handlar om minuter när den är ansluten till Internet.

  • Användare

    • Vid en nyinstallation bör onödiga standardanvändare (skapade av installationen) raderas.

  • Rättigheter:

    • Se över rättigheterna i systemet för att undvika att filer och kataloger är läs- och skrivbara för de som inte behöver kunna göra det.

    • Se till att obehöriga inte kan komma åt hårdvara som inte ska kunna nås av alla.

Återställa

Återställning av systemets funktionalitet

Säkerhetsgranskning av det ominstallerade systemet.

Efter att hela installationen med uppdateringar är gjord bör systemets säkerhet testas. Detta kan göras manuellt om så önskas, vilket tar mycket resurser i anspråk. Det finns även ett antal programvaror som kan sköta om testerna av systemet.

Nätverksloggning (NIDS, IPS, trafikinspelning)

  • För att få en bättre överblick över trafiken på nätverket så kan organisationen installera någon form av nätverksbaserad intrångsdetektering, eller om möjligt spela in trafiken på de segment som önskas övervakas extra noggrant.

Övervakning av det ominstallerade systemet

  • Övervaka systemet extra noga en tid framöver för att se om samma angrepp/angripare kommer tillbaka.

Återställa nätverksanslutningar

  • Internetaccess

  • LAN

  • WAN

Dokumentation

Dokumentation är nästan ett kapitel för sig, en oerhört viktig del i processen.

Uppdatera all tidigare dokumentation samt lägga till eventuell nytillkommen information. Vara noga med att dokumentera processen genom alla stegen i hanteringen av incidenten. Sprida ut dokumentation över ett flertal media t.ex. filservrar, CD-media, pappersformat för att inte hamna i en situation där dokumentationen finns på det drabbade systemet.

Länkar

Förslag på IDS:

Förslag på sårbarhetsscanners: