Řešení bezpečnostních incidentů

Z HelpDesk
Verze z 14. 3. 2021, 23:17, kterou vytvořil Msebela (diskuse | příspěvky)
(rozdíl) ← Starší verze | zobrazit aktuální verzi (rozdíl) | Novější verze → (rozdíl)

Bezpečnostní incidenty nechodí po horách, ale po lidech, takže se mohou přihodit každému z nás.

Co jsou to bezpečnostní incidenty?

Za bezpečnostní incident je považováno každé porušení pravidel, ať už jde o všeobecně platné zákony, směrnice s celouniverzitní platností nebo o provozní řády konkrétních služeb. Pro představu jde například o:

  • rozesílání nevyžádáné pošty (spam)
  • porušování autorských práv
    • sdílení s použitím P2P sítí
    • zveřejnění licenčních klíčů
  • nevhodné chování na síti typické pro napadené počítače
    • scanování okolí
    • DoS útoky
  • zveřejnění interních informací
  • ...

Kdo všechno se účastní?

Následující obrázek na ilustračním příkladu ukazuje, koho všeho se incident dotkne.

Reseni bi01.png
  1. Pachatel ze ZČU nedbá Pravidel používání sítě WEBnet a účastní se DDoS útoku na oběť
  2. Oběti se to nelíbí a jde si stěžovat svému IT oddělení, resp. bezpečnostnímu týmu typu CSIRT/CERT
  3. CSIRT zjišťuje, že útočník je ze sítě WEBnet, která spadá pod CESNET a ZČU a následně posílá upozornění bezpečnostnímu týmu ZČU. Někteří také pro jistotu osloví i bezpečnostní tým CESNETu (CESNET-CERTS)
  4. Bezpečnostní tým ZČU (WIRT - WEBnet Incident Response Team) dostává upozornění od stěžovatele, totéž přeposláno z CESNET-CERTS a v drtivé většině případů také hlášení od vlastního IDS systému.

Zaměstnanci a studenti ZČU samozřejmě nemusí vystupovat jen v roli pachatele, ale také v roli oběti - pak se situace prohodí a WIRT tedy bude uhánět CSIRT organizace, do které spadá útočník a žádat nápravu.

Standardní průběh řešení bezpečnostních incidentů

Všechny incidenty jsou řešeny standardizovaným postupem, který sestává z následujících kroků:

  1. Bezpečnostní incident je detekován
    • Vlastními silami (honeypoty, IDS systémy apod.)
    • Ohlášeno třetí stranou (typicky podezření na porušování autorských práv nebo nestandardní chování)
  2. Minimalizace dopadu incidentu
    • Odpojení napadeného zařízení od sítě
    • Zablokování zneužitého konta
    • Jiná opatření, která zamezí dalšímu zvyšování škod
  3. Správce zařízení nebo majitele konta je informován
    • O výskytu problému
    • O postupu jak dále postupovat
  4. Vyřešení problému
    • Technicky - přeinstalování, rekonfigurace, aktualizace ...
    • Organizačně - poučení uživatele / správce
  5. Návrat do běžného stavu
    • Připojení zařízení k síti
    • Odblokování konta
  6. Bezpečnostní incident je považován za vyřešený

Očekávané reakce

V první řadě je třeba nepanikařit. Pracovníci bezpečnostního týmu ZČU řešili již stovky bezpečnostních incidentů a tedy ví, co je potřeba udělat. Řiďte se jejich pokyny.

Interakce s uživatelem

Jak se uživatel dozví, že způsobil bezpečnostní incident?
Uživatel je informován e-mailem do své univerzitní schránky (kterou má povinnost pravidelně kontrolovat). Dalším průvodním jevem může být nedostupnost některých služeb související s minimalizací škod, například:

  • konto pro mobilní připojení je zablokováno pokud uživatel připojuje zavirovaný notebook (viz https://smp.zcu.cz),
  • konto Orion (přístup k poště, přihlášení ke stanicím IS nebo v učebnách, ...) je blokováno, pokud existuje důvodné podezření, že jej používá někdo jiný než oprávněný uživatel
  • zásuvka pro pevné připojení je blokována, protože je k ní připojen počítač provádějící nevhodnou činnost.

Co má uživatel dělat, pokud způsobil bezpečnostní incident?
V první řadě si přečíst zprávu ve své univerzitní emailové schránce. Pokud stále není jasné, co dělat, je nejvhodnějším řešením kontaktovat HelpDesk.

Interakce s lokálním správcem?

Jak se lokální správce dozví, že v jeho působnosti vzniknul bezpečnostní incident?
Pro každý incident, který vyžaduje zásah lokálního správce, je založen nový ticket v RT systému a lokální správce je přidán jako žadatel. Informace mu tedy přijde e-mailem. Ve zvlášť závažných případech bude lokální správce kontaktován telefonicky.

Co má lokální správce dělat, když v jeho působnosti vzniknul bezpečnostní incident?
V zaslaném e-mailu je specifikováno, jaká činnost je vyžadována. Typicky nalezení problémového počítače, jeho odpojení od datové sítě a zajištění nápravy. Ať už svépomocí, objednáním servisu nebo dohledem na příslušného uživatele.

Kam se obrátit?

Pokud si myslíte, že jste se stali obětí bezpečnostního incidentu nebo jste jej sami realizovali a nyní nevíte co máte dělat, kontaktujte HelpDesk CIV, případně rovnou bezpečnostní tým WIRT.