21.11.2010 1

CERT/CSIRT:Wie baue ich ein CERT in und für mein eigenes Unternehmen auf?

Vortragender: Christian Proschinger

Buzzword Bingo

21.11.2010 2

Constituency

CERT

Security Incident Management

CSIRT

CIRT

Security Incident Capabilities

ITIL

ISO 27001

TF-CSIRTFIRST

Trusted Introducer

IRT

Incident Management

Problem Management

RTFM

ENISACMU

CIA

RFC 2350

� CERT.at – das nationale Computer Emergency Response Team

� Ansprechpartner für IT Sicherheit im nationalen Umfeld

� Zielgruppe: österreichische IT Security-Teams und lokale CERTs

� Vernetzung von und mit anderen CERTs, Sicherheitsteams (weltweit)

� Koordinationsstelle

� Initiative von Nic.at (österreichische Domain Registry)

� GovCERT – das Government Computer Emergency Response Team

� Zielgruppe: öffentliche Verwaltung und kritische Informationsinfrastruktur

� Kooperation zwischen Bundeskanzleramt und CERT.at

Wer sind wir?

21.11.2010 3

� Informationsverteilung

� Warnungen

� Empfehlungen

� Aufbereitung von Sicherheitsinformationen

� Vorfallskoordination

� Unterstützung bei Sicherheitsvorfällen

� Analyse

� Task-Forces

� Clearingstelle

� Plattform für Vernetzung der IT-Security Experten in Österreich

� Unterstützung beim Aufbau von CERTs

� Lagebild

Was tun wir?

21.11.2010 4

CERT Entwicklung 2008

21.11.2010 5

CERT Entwicklung 2010

21.11.2010 6

Mögliche Services von CERTs

21.11.2010 7

Quelle: www.cert.org

� Security Incident-Handling

� Triage

� Liegt ein Security-Incident vor?

� Sind wir zuständig?

� Bewerten und Priorisieren.

� Analyse des Vorfalls

� Ergreifen, Vorschlagen, Veranlassen von Maßnahmen

� Durchführung und Wirksamkeit kontrollieren

� Nachbereitung

Die Pflicht

21.11.2010 8

Die Kür

21.11.2010 9

� Analog zu „Nebengeschäften“ der Feuerwehr

� Vermeidung von Vorfällen

� Mechanismen zur Erkennung

� Vorbereitung von Gegenmaßnahmen

� Organisieren von Ansprechpersonen

� Öffentlichkeitsarbeit

� Beratung

� Zentrale Koordination von Sicherheitsvorfällen

� Sachkundige Behandlung von Sicherheitsvorfällen

� Tatsächliche Behebung

� Richtige Beweissicherung

� Unterstützung der Benutzer/Fachabteilungen

� Raschere Wiederherstellung

� Schadensreduzierung

� State-of-the Art

� Verbesserung der Sicherheits-Awareness im Unternehmen

� Nach außen sichtbare Ansprechstelle

� Einfachere Zusammenarbeit bei Sicherheitsvorfällen mit anderen Institutionen

Warum ein CERT fürs eigene Unternehmen

21.11.2010 10

� Wichtige Personen im Unternehmen

� IT-Betrieb

� IT-Leiter

� CSO, CISO

� Risiko Manager

� Notfallsmanager

� Revision

� Geschäftsführung

� Pressestelle

� Wichtige Personen/Organisationen außerhalb

� Andere Teams in gleicher Branche - Erfahrungsaustausch

� Andere Teams - Unterstützung für Aufbau, Akkreditierung

Teilnehmer identifizieren

21.11.2010 11

� Wen vertrete ich als Ansprechstelle für Sicherheitsvorfälle?

� Wem biete ich meine Services an?

� Klientel, Zielgruppe

� Vorsicht bei Begriff „Kunde“

� Mögliche Eingrenzung

� Unternehmen die das CERT vertritt

� Services für Unternehmen die das CERT vertritt

� AS-Nummer

Constituency

21.11.2010 12

� Klare Definition der Aufgaben

� Kernaktivitäten

� Abstimmung mit Management

� „Elevator Pitch“

� 30s-2min

Mission Statement

21.11.2010 13

Quelle: www.S-CERT.de

� Aussagekräftiger Name

� Zielgruppe

� Art

� International

� Abkürzung

� CERT Computer Emergency Response Team

� CSIRT Computer Security Incident Response Team

� IRT Incident Response Team

� CIRT Computer Incident Response Team

� SERT Security Emergency Response Team

Name des Teams

21.11.2010 14

Kritische Erfolgsfaktoren

21.11.2010 15

Quelle: Projekt „CERT Niedersachsen“ [2005]; Dr. K.-P. Kossakowski

� Kernteam

� Virtuelles Team

� 1 Teamleiter

� 1 Teamrepräsentant

� Fachexperten

� Je nach Services

� Externer Expertenpool

� Einbettung in Krisenorganisation

� Lenkungsgremien (Teamleiter, IT-Leiter, CSO,…)

� Weisungsrecht ja/nein

Organisationsstruktur

21.11.2010 16

Geschäftsführung

IT Abteilung Fachbereich Fachbereich

CERTInformation

Security Management

Beispiele Organisatorische Einbettung

21.11.2010 17

Geschäftsfstührung

IT Abteilung Fachbereich Fachbereich

CERT Revision

Geschäftsführung

IT Abteilung Fachbereich Fachbereich

ISM & CERT

Geschäftsführung

IT Abteilung

CERT

Fachbereich Fachbereich

Information Security

Management

� Langfristige Absicherung erforderlich

� Finanzierung durch

� Mutterunternehmen

� Servicegebühren

� Mitgliedschaft

� Business Case planen

� Kosten (inkl. Reisekosten, Fortbildung)

� Eventuelle Kostenersparnis aufzeigen

� Skaleneffekte

� Qualitätsverbesserung

� Schadensreduzierung

Finanzierungsmodell

21.11.2010 18

Services definieren

21.11.2010 19

Quelle: www.cert.org

Was ist Security Incident Management

21.11.2010 20

Quelle: www.cert.org

Security Incident Handling

21.11.2010 21

Quelle: www.cert.org

� Prozesse im Team definieren und dokumentieren

� Ticketing System verwenden

� Bestehendes System

� Autarkes System

� Existieren schon Prozesse im Unternehmen (z.B. IT Infrastructure Library)

� Service Desk

� Incident Management Prozess

� Problem Management Prozess

� …

� Vorsicht bei ITIL: Incident != Security Incident

Security Incident Management umsetzen

21.11.2010 22

� Patch Management

� Sicherheit

� Funktion

� Stabilität

� Vulnerability Management

� Patch

� Workaround

� Konfigurationsänderung

� Designänderung

Beispiel Vulnerability Management

21.11.2010 23

Patch Management

Vulnerability ManagementVulnerability Management

• Audit

• VulnerabilityScans – CERT Service

• Kennzahlenbericht an Management

• Gegenmaßnahme

• Patch

• Workaround

• Konfiguration

• Information

• Advisories –CERT Service

• Ansprechpartner – CERT Service

Plan Do

CheckAct

Beispiel Vulnerability Management

21.11.2010 24

� Europa

� Trusted Introducer

� listed

� accredited

� International

� Forum of Incident Response and Security Teams

� Full Member

� Akkreditierung mit Site-Visit

� 2 unterstützende Teams

Sichtbarkeit und Qualitätssicherung

21.11.2010 25

� Aussperren von Blackhats

� Verifizierte und aktualisierte Kontaktdaten

� Geschlossene Mailing- und Diskussionslisten

� Regelmäßige Meetings

� Trusted Introducer

� TF-CSIRT ca. 4x im Jahr in Europa

� FIRST

� Technical Symposium ca. 4x pro Jahr weltweit

� Annual FIRST Conference

Sichtbarkeit und Qualitätssicherung

21.11.2010 26

� Woher beziehen Sie aktuell Informationen

� Wie behandeln Sie Sicherheitsvorfälle aktuell?

Diskussion und Fragen?

21.11.2010 27

Handbook for Computer Security Incident Response Teams (CSIRTs)

2nd Edition April 2003Moira J. West-Brown, Don Stikvoort, Klaus-Peter Kossakowski, Georgia Killcrece, Robin Ruefle, Mark Zajicek

State of the Practice of Computer Security Incident Response Teams (CSIRTs)

October 2003Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek

Defining Incident Management Processes for CSIRTs: A Work in Progress

October 2004Chris Alberts, Audrey Dorofee, Georgia Killcrece, Robin Ruefle, Mark Zajicek

Einrichtung eines CSIRT Schritt für Schritt

2006ENISA

Literatur

21.11.2010 28