Řešení bezpečnostních incidentů

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m (Inerakce s uživatelem)
 
Řádka 55: Řádka 55:
 
== Interakce s uživatelem ==
 
== Interakce s uživatelem ==
  
'''Jak se uživatel dozví, že způsobil bezpečnostní incident?'''?<br>
+
'''Jak se uživatel dozví, že způsobil bezpečnostní incident?'''<br>
 
Uživatel je informován e-mailem do své univerzitní schránky (kterou má povinnost pravidelně kontrolovat). Dalším průvodním jevem může být nedostupnost některých služeb související s minimalizací škod, například:
 
Uživatel je informován e-mailem do své univerzitní schránky (kterou má povinnost pravidelně kontrolovat). Dalším průvodním jevem může být nedostupnost některých služeb související s minimalizací škod, například:
 
* konto pro mobilní připojení je zablokováno pokud uživatel připojuje zavirovaný notebook (viz https://smp.zcu.cz),
 
* konto pro mobilní připojení je zablokováno pokud uživatel připojuje zavirovaný notebook (viz https://smp.zcu.cz),
Řádka 61: Řádka 61:
 
* zásuvka pro pevné připojení je blokována, protože je k ní připojen počítač provádějící nevhodnou činnost.
 
* zásuvka pro pevné připojení je blokována, protože je k ní připojen počítač provádějící nevhodnou činnost.
  
'''Co má uživatel dělat, pokud způsobil bezpečnostní incident?'''?<br>
+
'''Co má uživatel dělat, pokud způsobil bezpečnostní incident?'''<br>
 
V první řadě si přečíst zprávu ve své univerzitní emailové schránce. Pokud stále není jasné, co dělat, je nejvhodnějším řešením kontaktovat [[HelpDesk]].
 
V první řadě si přečíst zprávu ve své univerzitní emailové schránce. Pokud stále není jasné, co dělat, je nejvhodnějším řešením kontaktovat [[HelpDesk]].
  
 
== Interakce s lokálním správcem? ==
 
== Interakce s lokálním správcem? ==
'''Jak se lokální správce dozví, že v jeho působnosti vzniknul bezpečnostní incident?'''?<br>
+
'''Jak se lokální správce dozví, že v jeho působnosti vzniknul bezpečnostní incident?'''<br>
 
Pro každý incident, který vyžaduje zásah lokálního správce, je založen nový ticket v RT systému a lokální správce je přidán jako žadatel. Informace mu tedy přijde e-mailem. Ve zvlášť závažných případech bude lokální správce kontaktován telefonicky.
 
Pro každý incident, který vyžaduje zásah lokálního správce, je založen nový ticket v RT systému a lokální správce je přidán jako žadatel. Informace mu tedy přijde e-mailem. Ve zvlášť závažných případech bude lokální správce kontaktován telefonicky.
  
'''Co má lokální správce dělat, když v jeho působnosti vzniknul bezpečnostní incident?'''?<br>
+
'''Co má lokální správce dělat, když v jeho působnosti vzniknul bezpečnostní incident?'''<br>
 
V zaslaném e-mailu je specifikováno, jaká činnost je vyžadována. Typicky nalezení problémového počítače, jeho odpojení od datové sítě a zajištění nápravy. Ať už svépomocí, objednáním servisu nebo dohledem na příslušného uživatele.
 
V zaslaném e-mailu je specifikováno, jaká činnost je vyžadována. Typicky nalezení problémového počítače, jeho odpojení od datové sítě a zajištění nápravy. Ať už svépomocí, objednáním servisu nebo dohledem na příslušného uživatele.
  

Aktuální verze z 00:17, 15 březen 2021

Bezpečnostní incidenty nechodí po horách, ale po lidech, takže se mohou přihodit každému z nás.

Obsah


[editovat] Co jsou to bezpečnostní incidenty?

Za bezpečnostní incident je považováno každé porušení pravidel, ať už jde o všeobecně platné zákony, směrnice s celouniverzitní platností nebo o provozní řády konkrétních služeb. Pro představu jde například o:

  • rozesílání nevyžádáné pošty (spam)
  • porušování autorských práv
    • sdílení s použitím P2P sítí
    • zveřejnění licenčních klíčů
  • nevhodné chování na síti typické pro napadené počítače
    • scanování okolí
    • DoS útoky
  • zveřejnění interních informací
  • ...

[editovat] Kdo všechno se účastní?

Následující obrázek na ilustračním příkladu ukazuje, koho všeho se incident dotkne.

Reseni bi01.png
  1. Pachatel ze ZČU nedbá Pravidel používání sítě WEBnet a účastní se DDoS útoku na oběť
  2. Oběti se to nelíbí a jde si stěžovat svému IT oddělení, resp. bezpečnostnímu týmu typu CSIRT/CERT
  3. CSIRT zjišťuje, že útočník je ze sítě WEBnet, která spadá pod CESNET a ZČU a následně posílá upozornění bezpečnostnímu týmu ZČU. Někteří také pro jistotu osloví i bezpečnostní tým CESNETu (CESNET-CERTS)
  4. Bezpečnostní tým ZČU (WIRT - WEBnet Incident Response Team) dostává upozornění od stěžovatele, totéž přeposláno z CESNET-CERTS a v drtivé většině případů také hlášení od vlastního IDS systému.

Zaměstnanci a studenti ZČU samozřejmě nemusí vystupovat jen v roli pachatele, ale také v roli oběti - pak se situace prohodí a WIRT tedy bude uhánět CSIRT organizace, do které spadá útočník a žádat nápravu.

[editovat] Standardní průběh řešení bezpečnostních incidentů

Všechny incidenty jsou řešeny standardizovaným postupem, který sestává z následujících kroků:

  1. Bezpečnostní incident je detekován
    • Vlastními silami (honeypoty, IDS systémy apod.)
    • Ohlášeno třetí stranou (typicky podezření na porušování autorských práv nebo nestandardní chování)
  2. Minimalizace dopadu incidentu
    • Odpojení napadeného zařízení od sítě
    • Zablokování zneužitého konta
    • Jiná opatření, která zamezí dalšímu zvyšování škod
  3. Správce zařízení nebo majitele konta je informován
    • O výskytu problému
    • O postupu jak dále postupovat
  4. Vyřešení problému
    • Technicky - přeinstalování, rekonfigurace, aktualizace ...
    • Organizačně - poučení uživatele / správce
  5. Návrat do běžného stavu
    • Připojení zařízení k síti
    • Odblokování konta
  6. Bezpečnostní incident je považován za vyřešený

[editovat] Očekávané reakce

V první řadě je třeba nepanikařit. Pracovníci bezpečnostního týmu ZČU řešili již stovky bezpečnostních incidentů a tedy ví, co je potřeba udělat. Řiďte se jejich pokyny.

[editovat] Interakce s uživatelem

Jak se uživatel dozví, že způsobil bezpečnostní incident?
Uživatel je informován e-mailem do své univerzitní schránky (kterou má povinnost pravidelně kontrolovat). Dalším průvodním jevem může být nedostupnost některých služeb související s minimalizací škod, například:

  • konto pro mobilní připojení je zablokováno pokud uživatel připojuje zavirovaný notebook (viz https://smp.zcu.cz),
  • konto Orion (přístup k poště, přihlášení ke stanicím IS nebo v učebnách, ...) je blokováno, pokud existuje důvodné podezření, že jej používá někdo jiný než oprávněný uživatel
  • zásuvka pro pevné připojení je blokována, protože je k ní připojen počítač provádějící nevhodnou činnost.

Co má uživatel dělat, pokud způsobil bezpečnostní incident?
V první řadě si přečíst zprávu ve své univerzitní emailové schránce. Pokud stále není jasné, co dělat, je nejvhodnějším řešením kontaktovat HelpDesk.

[editovat] Interakce s lokálním správcem?

Jak se lokální správce dozví, že v jeho působnosti vzniknul bezpečnostní incident?
Pro každý incident, který vyžaduje zásah lokálního správce, je založen nový ticket v RT systému a lokální správce je přidán jako žadatel. Informace mu tedy přijde e-mailem. Ve zvlášť závažných případech bude lokální správce kontaktován telefonicky.

Co má lokální správce dělat, když v jeho působnosti vzniknul bezpečnostní incident?
V zaslaném e-mailu je specifikováno, jaká činnost je vyžadována. Typicky nalezení problémového počítače, jeho odpojení od datové sítě a zajištění nápravy. Ať už svépomocí, objednáním servisu nebo dohledem na příslušného uživatele.

[editovat] Kam se obrátit?

Pokud si myslíte, že jste se stali obětí bezpečnostního incidentu nebo jste jej sami realizovali a nyní nevíte co máte dělat, kontaktujte HelpDesk CIV, případně rovnou bezpečnostní tým WIRT.

Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje