SlideShare une entreprise Scribd logo

[ISSA] Incident Responce

msobiegraj
msobiegraj

Wojtek Wirkijowski

Technologie
1  sur  42
Reagowanie na incydenty Wojciech Wirkijowski ww@reconlab.com
Agenda: ● wprowadzenie i definicje ● przygotowanie do reagowania na incydenty ● po wykryciu zdarzenia ● postępowanie z dowodami – Chain of custody Reagowanie na incydenty
Źródła: ● Incident Response & Computer Forensics – K.Mandia, C. Prosise, M. Pepe ● „Logs in Incident Response” - A. Chuvakin ● www.sans.org ● www.incident-response.net Reagowanie na incydenty
Czym jest incydent (w sensie informatycznym)? Każdą bezprawną, nieautoryzowaną lub nieakceptowalną akcją, która została dokonana przy użyciu komputera i/lub sieci komputerowej. Reagowanie na incydenty
Przykłady: ● Kradzież tajemnicy handlowej ● Nieautoryzowane lub bezprawne wtargnięcie do systemów komputerowych ● Malwersacje ● Pornografia dziecięca ● Ataki DoS ● Naruszenie relacji biznesowych ● Wyłudzenia Reagowanie na incydenty
Cele do osiągnięcia w reagowaniu na incydenty: ● Zapobieżenie bezładnej, nieskoordynowanej reakcji ● Potwierdzenie lub zaprzeczenie zaistnienia incydentu ● Ustanowienie kontroli nad poprawnym zbieraniem i ewidencjonowaniem dowodów ● Gromadzenie właściwych i trafnych informacji ● Ochrona prywatności ustanowionej przez prawo ● Minimalizacja zakłóceń w działaniach organizacji i działaniu systemów komputerowych Reagowanie na incydenty
Cele do osiągnięcia w reagowaniu na incydenty – c.d. : ● Doprowadzenie do rozpoczęcia działań kryminalnych lub cywilnych wobec sprawcy/sprawców ● Dostarczenie dokładnych raportów i użytecznych rekomendacji ● Umożliwienie szybkiej detekcji i przeciwdziałania ● Minimalizacja ekspozycji i utraty danych ● Ochrona reputacji i zasobów organizacji ● Przygotowanie się/zapobieżenie podobnym sytuacjom w przyszłości Reagowanie na incydenty
Reagowanie na incydenty
Przygotowanie do działania w odpowiedzi na zdarzenia: ● Wprowadzenie zabezpieczeń typu host-base i network-base ● Szkolenia użytkowników ● Wdrożenie systemów ID (intrusion detection) ● Stworzenie mocnej kontroli dostępu ● Okresowe testowanie podatności systemów na zagrożenia ● Regularne archiwizowanie danych (kopie zapasowe) Reagowanie na incydenty
Przygotowanie zespołu, który podejmie działania po zaistnieniu zdarzenia, w tym przygotowanie: ● sprzętu do przeprowadzenia śledztwa ● oprogramowania do przeprowadzenia śledztwa ● dokumentacji (formularzy) ● polityki i procedury postępowania na wypadek zdarzeń ● wyszkolenie i wyćwiczenie ludzi odpowiedzialnych za podjęcie działań pozdarzeniowych Reagowanie na incydenty
Wykrywanie zdarzeń: Reagowanie na incydenty
Przygotowanie do incident response w skrócie: ● Pojedyncze maszyny ● utworzenie sum kontrolnych dla krytycznych plików ● zwiększenie lub włączenie bezpiecznego logwania ● wdrożenie systemów zabezpieczeń host-side ● tworzenie kopii zapasowych ● edukacja użytkowników Reagowanie na incydenty
Z warsztatów Confidence 2007 „Logs in Incident Response” Antona Chuvakina: Log analysis. Why NOT ● “Real hackers don’t get logged!” ☺ ● Why bother? No, really ... ● Too much data (>x0 GB per day) ● Too hard to do ● Is this device lying to me? ☺ ● No tools “that do it for you” ● – Or: tools too expensive ● What logs? We turned them off Reagowanie na incydenty
Przygotowanie do incident response w skrócie: ● Sieć komputerowa ● wdrożenie firewalli i idsów (oczywiste) ● access-listy na routerach ● stworzenie topologii sieci (np. w Visio) ● szyfrowanie komunikacji ● wymaganie uwierzytelniania Reagowanie na incydenty
Przygotowanie do incident response w skrócie: ● Stworzenie i wdrożenie polityk i procedur ● uwzględnienie czynników biznesowych ● uwzględnienie czynników prawnych ● uwzględnienie czynników polityki firmy ● uwzględnienie czynników technicznych Brak polityk i procedur: ● panika i początkowa reakcja równolegle ● przeciwdziałanie skutkom i śledztwo w tym samym czasie ● dwa kroki do przodu i dziesięć w tył Reagowanie na incydenty
Sprzętowe minimum w reagowaniu na incydenty: ● komputer z: ● procesorem pentium 1GHz lub więcej ● minimum 256 MB RAM ● dyski IDE o dużej pojemności ● dyski SCSI o dużej pojemności ● karty i kontrolery SCSI ● szybki napęd optyczny CD/DVD RW ● kasetki do streamera ● dodatkowo: ● gniazda zasilające dla urządzeń peryferyjnych ● kable zasilające ● różnego typu przewody SCSI z terminatorami ● adaptery parallel-to-SCSI ● skrętkę UTP CAT 5 i huby/switche ● zasilanie awaryjne (UPS) Reagowanie na incydenty
● czyste płyty CD/DVD – 100 szt lub więcej ● etykiety (naklejki) na płyty ● marker do oznaczania płyt ● teczki biurowe wraz z etykietami ● instrukcje użytkownika dla posiadanego sprzętu ● kamerę cyfrową/aparat cyfrowy ● zamykane torebki/opakowania do zbierania dowodów ● drukarkę i papier Reagowanie na incydenty
Ustanowienie zespołu odpowiedzialnego za przeprowadzenie postępowania pozdarzeniowego CIRT (Computer Incident Response Team): ● ustalenie misji zespołu ● stworzenie zespołu stałego lub powoływanego na czas dochodzenia ● wyznaczenie osób odpowiedzialnych i kierownika zespołu ● szkolenia i ćwiczenia Reagowanie na incydenty
PO ZDARZENIU Reagowanie na incydenty
Cele: ● natychmiastowe i efektywne podejmowanie decyzji ● jak najszybsze zebranie informacji w sposób zapewniający niepodważalność dowodów ● odpowiednia sklasyfikowanie zdarzenia ● szybkie poinformowanie osób odpowiedzialnych za wezwanie/zmobilizowanie zespołu CIRT Reagowanie na incydenty
Reagowanie na incydenty
Zapisywanie wszystkich niezbędnych informacji Lista czynności do wykonania w pierwszej kolejności: ● data i czas wykrycia lub rozpoczęcia zdarzenia ● dane kontaktowe osoby odbierającej zgłoszenie ● dane kontaktowe osoby zgłaszającej ● typ zdarzenia ● lokalizacja komputerów objętych zdarzeniem ● data pierwszego zauważenia sytuacji ● opis fizycznych zabezpieczeń w miejscach zdarzeń ● w jaki sposób wykryto zdarzenie ● kto miał dostęp do systemów po wykryciu incydentu ● kto miał fizyczny dostęp do systemów po wykryciu incydentu ● kto obecnie wie o incydencie Reagowanie na incydenty
Lista czynności do wykonania w drugiej kolejności: ● Zgromadzenie danych - Szczegóły systemu ● marka i model systemu ● system operacyjny ● główny użytkownik(-cy) ● administrator systemu ● adres sieciowy lub IP ● nazwa sieciowa ● rodzaje połączeń (np. modem) ● krytyczne informacje znajdujące się w systemie Reagowanie na incydenty
● Dochodzenie: ● czy zdarzenie nadal trwa i postępuje ● czy niezbędne jest monitorowanie sieci ● czy system podłączony jest do internetu/sieci; jeśli nie to kto wydał polecenie odłączenia systemu i kiedy będzie podłączony z powrotem ● czy istnieją kopie zapasowe ● jakie kroki przeciwdziałania zostały już podjęte ● czy zebrane informacje są przechowywane w bezpieczny zapobiegający sfałszowaniu sposób Reagowanie na incydenty
Narzędzia w incident response: ● narzędzia dla różnych systemów operacyjnych ● opisanie i oznaczenie nośników zawierających narzędzia ● sprawdzenie zależności ● stworzenie sum kontrolnych dla narzędzi ● zabezpieczenie przed zapisem nośników z programami narzędziowymi ● stosowanie narzędzi sprawdzonych i uznanych przez środowisko specjalistów (prawo) ● korzystanie tylko z zaufanych kopii Reagowanie na incydenty
Zebranie ulotnych danych: ● uruchomienie zaufanej powłoki (cmd.exe, bash) ● zapisanie czasu i daty systemowej ● sprawdzenie kto jest zalogowany do systemu ● zapisanie modyfikacji, stworzenia i dostępu do wszystkich plików ● sprawdzenie otwartych portów sieciowych (netstat, Fport) ● wylistowanie wszystkich uruchomionych procesów ● wylistowanie wszystkich połączeń ● zapisanie czasu i daty systemowej (!!! drugi raz!!!) Reagowanie na incydenty
Zebranie ulotnych danych c.d.: ● udokumentowanie wszystkich wydanych poleceń (doskey /history, .bash_history, script) Najlepszym rozwiązaniem jest wykonanie wszystkich powyższych kroków poprzez wcześniej przygotowany skrypt (.bat, .sh). Zapobiegnie to pomyłkom, skróci znacząco czas śledztwa i zwiększy wiarygodność zebranych danych. Reagowanie na incydenty
Zebranie innych ważnych danych: ● logi ● rejestry/pliki konfiguracyjne ● uzyskanie haseł systemowych ● zdumpowanie pamięci RAM (userdump.exe, zmodyfikowane dd) SUMY KONTROLNE!!! Reagowanie na incydenty
Rootkity: załóżmy, że wywołano program: tcpdump -x -v -n elementy tablic: argv[0] = tcpdump argv[1] = -x argv[2] = -v argv[3] = -n argc = 4 zróbmy coś takiego: strcpy(argv[0], ”xterm”) i mamy „uruchomiony” xterm w trybie sieciowym ;) Pomocne narzędzia kstat. Reagowanie na incydenty
grafzero:/home/wojtek# ps ax | grep xmms 5018 ? SLsl 3:18 /usr/bin/xmms 6110 pts/2 S+ 0:00 grep xmms grafzero:/home/wojtek# cd /proc/5018 grafzero:/proc/5018# ls -al razem 0 dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 . dr-xr-xr-x 118 root root 0 2008-03-10 15:45 .. -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 auxv -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 cmdline -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 cpuset lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 cwd -> /home/wojtek -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 environ lrwxrwxrwx 1 wojtek wojtek 0 2008-03-10 22:58 exe -> /usr/bin/xmms dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 fd -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 maps -rw------- 1 wojtek wojtek 0 2008-03-11 08:55 mem -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 mounts -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 mountstats -rw-r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_adj -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_score lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 root -> / -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 smaps -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 stat -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 statm -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 status dr-xr-xr-x 7 wojtek wojtek 0 2008-03-11 08:55 task -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 wchan Reagowanie na incydenty
grafzero:/proc/5018# cd fd grafzero:/proc/5018/fd# ls -al razem 0 dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 . dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 .. lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 0 -> /dev/null l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 1 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 10 -> socket:[35500] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 11 -> pipe:[35504] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 12 -> pipe:[35504] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 13 -> socket:[6229] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 14 -> socket:[6234] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 15 -> /home/wojtek/mp3/SP/The Smashing Pumpkins - Mellon Collie and the Infinite Sadness/CD1/The Smashing Pumpkins - 09 - Love.mp3 lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 16 -> /dev/snd/timer lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 17 -> /dev/snd/pcmC0D0p lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 18 -> /dev/snd/controlC0 l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 2 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 3 -> socket:[35498] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 4 -> pipe:[6164] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 5 -> pipe:[6164] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 6 -> pipe:[6165] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 7 -> pipe:[6165] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 8 -> pipe:[6166] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 9 -> pipe:[6166] grafzero:/proc/5018/fd# cd .. grafzero:/proc/5018# cat cmdline /usr/bin/xmms incydenty Reagowanie na
Duplikowanie dysków: ● skopiowanie przy pomocy dd lub komercyjnych rozwiązań ● stworzenie sum kontrolnych ● tworzymy kopie kopii do pracy ● wykorzystanie czystych nośników do tworzenia kopii (dd if=/dev/zero of=/dev/hdb) Reagowanie na incydenty
Monitorowanie sieci: ● wybranie punktów zbierania danych ● uruchomienie dodatkowego systemu ID wykrywającego ruch naruszający polityki i procedury w trybie stealth ● zbieranie danych statystycznych i sesji (także przy wykorzystaniu logów z firewalli, routerów) ● logowanie pełnych pakietów Reagowanie na incydenty
Przydatny sprzęt: ● SPAN porty na switchach ● TAPy (test access point) ● HUBy – w ostateczności !!! Reagowanie na incydenty
Chain of Custody Reagowanie na incydenty
● zasada najlepszej ewidencji ● autoryzowanie ewidencji ● dane muszą być gromadzone w taki sposób aby nie móc podważyć ich wiarygodności ● możliwość śledzenia co się dzieje z danymi od momentu zebrania do zakończenia śledztwa ● przechowywanie danych w bezpiecznym miejscu ● wyznaczenie osób odpowiedzialnych za zabezpieczenie danych ● okresowe audyty w celu sprawdzenia dochowania procedur ● sumy kontrolne !!! Reagowanie na incydenty
Obchodzenie się z danymi: ● przy sprawdzaniu danych znajdujących się na maszynie zapisz informacje identyfikujące system ● zrób zdjęcia komputera/nośników ● oznakuj nośniki i dokładnie opisz (oryginał, kopia) ● zabezpiecz fizycznie. elektromagnetycznie itp. nośniki danych ● zewidencjonuj dowody w przeznaczonym do tego notesie (kto, kiedy, oryginał, kopia) ● stwórz kopie zapasowe ewidencji ● dane mogą zostać przekazane tylko wyznaczonym osobom ● audyty danych Reagowanie na incydenty
Opis badanego systemu: ● kto korzystał do pomieszczenia gdzie znaleziono dowody ● kto ma dostęp do pomieszczenia gdzie znaleziono dowody ● kto aktualnie używa systemu ● umiejscowienie komputera w pomieszczeniu ● stan systemu: włączony/wyłączony, dane na ekranie ● data i czas BIOSu ● połączenia sieciowe (ethernet, modem) ● kto był obecny w trakcie zbierania danych ● numery seryjne, modele, producenci komponentów komputerowych ● urządzenia peryferyjne podłączone do systemu Reagowanie na incydenty
Fotografie: ● ochrona śledczych przed oskarżeniem o uszkodzenie/ zniszczenie przedmiotów ● upewnienie się że system zostanie przywrócony do poprzedniego stanu po zebraniu danych ● utrwalenie podłączeń sieciowych (kabli), urządzeń peryferyjnych, konfiguracji Na zdjęciach: ● nie umieszczaj jakichkolwiek osób (jeśli to możliwe) ● uwzględnij dodatkowe oznaczenia – np. numer przy przedmiocie ● używaj tylko karty przeznaczonej do śledztwa (nie wolno użyć tej samej, na której znajdują się zdjęcia z wakacji!!) Reagowanie na incydenty
Oznaczenia przedmiotów: ● Miejsce i osoba od której dane zostały odebrane ● czy wymagana jest zgoda na sprawdzenie nośnika ● opis przedmiotów ● jeśli przedmiotem jest nośnik danych, opis jakie dane się na nim znajdują ● data i czas odebrania ewidencji ● Imię i nazwisko osoby, która jako pierwsza odebrała ewidencję ● numer sprawy i numer dowodu Reagowanie na incydenty
Raporty w skrócie: ● dokładny opis i szczegóły zdarzenia ● zrozumiałe dla podejmujących decyzje ● przygotowane w sposób zapobiegający jakiejkolwiek krytyce ● nie zawierające błędnych interpretacji ● z odwołaniami (referencjami) do źródeł ● zawierające wszystkie informacje do wytłumaczenia wniosków ● wnioski, opinie, rekomendacje Reagowanie na incydenty
Dziękuję :) Pytania? Reagowanie na incydenty

Recommandé

Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)tomasz_pelczar
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Autenticazione uffici postali20set2015
Autenticazione uffici postali20set2015Autenticazione uffici postali20set2015
Autenticazione uffici postali20set2015Fabio Bolo
 

Recommandé

Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)tomasz_pelczar
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Autenticazione uffici postali20set2015
Autenticazione uffici postali20set2015Autenticazione uffici postali20set2015
Autenticazione uffici postali20set2015Fabio Bolo
 
Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012Fabio Bolo
 
Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112Fabio Bolo
 
Manovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdfManovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdfFabio Bolo
 
Rafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdfRafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdfFabio Bolo
 
Antiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdfAntiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdfFabio Bolo
 
Ricadute manovre prov h.pptx
Ricadute manovre prov h.pptxRicadute manovre prov h.pptx
Ricadute manovre prov h.pptxFabio Bolo
 
Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)Fabio Bolo
 
20161221 slc comunicato mp
20161221 slc comunicato mp20161221 slc comunicato mp
20161221 slc comunicato mpFabio Bolo
 
Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychPHPstokPHPstok
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoSzymon Konkol - Publikacje Cyfrowe
 
Bezpieczny komputer w domu
Bezpieczny komputer w domuBezpieczny komputer w domu
Bezpieczny komputer w domuWydawnictwo Helion
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP IT-factory
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraWydawnictwo Helion
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?A+C Systems
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Pawel Wawrzyniak
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyWydawnictwo Helion
 
Zabezpieczenia systemów komputerowych
Zabezpieczenia systemów komputerowychZabezpieczenia systemów komputerowych
Zabezpieczenia systemów komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsWydawnictwo Helion
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaWydawnictwo Helion
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 

Contenu connexe

En vedette

Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012Fabio Bolo
 
Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112Fabio Bolo
 
Manovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdfManovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdfFabio Bolo
 
Rafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdfRafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdfFabio Bolo
 
Antiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdfAntiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdfFabio Bolo
 
Ricadute manovre prov h.pptx
Ricadute manovre prov h.pptxRicadute manovre prov h.pptx
Ricadute manovre prov h.pptxFabio Bolo
 
Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)Fabio Bolo
 
20161221 slc comunicato mp
20161221 slc comunicato mp20161221 slc comunicato mp
20161221 slc comunicato mpFabio Bolo
 

En vedette (8)

Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012Linee guida gestione dup monoperatore marzo 2012
Linee guida gestione dup monoperatore marzo 2012
 
Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112Comunicato congiunto riunione mp 011112
Comunicato congiunto riunione mp 011112
 
Manovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdfManovra di amministrazione e controllo di at.pdf
Manovra di amministrazione e controllo di at.pdf
 
Rafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdfRafforzamento ref filatelia.pdf
Rafforzamento ref filatelia.pdf
 
Antiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdfAntiriciclaggio novembre 2016.pdf
Antiriciclaggio novembre 2016.pdf
 
Ricadute manovre prov h.pptx
Ricadute manovre prov h.pptxRicadute manovre prov h.pptx
Ricadute manovre prov h.pptx
 
Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)Csa presentazione 15112016.pdf (1)
Csa presentazione 15112016.pdf (1)
 
20161221 slc comunicato mp
20161221 slc comunicato mp20161221 slc comunicato mp
20161221 slc comunicato mp
 

Similaire à [ISSA] Incident Responce

Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychPHPstokPHPstok
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP IT-factory
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraWydawnictwo Helion
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?A+C Systems
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Pawel Wawrzyniak
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyWydawnictwo Helion
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsWydawnictwo Helion
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaWydawnictwo Helion
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
Jak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXJak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXKamil Grabowski
 
Cyberbezpieczeństwo infografika
Cyberbezpieczeństwo infografikaCyberbezpieczeństwo infografika
Cyberbezpieczeństwo infografikaPiotr62
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 

Similaire à [ISSA] Incident Responce (20)

Bezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowychBezpieczeństwo aplikacji webowych
Bezpieczeństwo aplikacji webowych
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
 
Bezpieczny komputer w domu
Bezpieczny komputer w domuBezpieczny komputer w domu
Bezpieczny komputer w domu
 
System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP System zarządzania bezpieczeństwem SECAP
System zarządzania bezpieczeństwem SECAP
 
Bezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratoraBezpieczeństwo w Linuksie. Podręcznik administratora
Bezpieczeństwo w Linuksie. Podręcznik administratora
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
 
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
Jak w praktyce radzić sobie z nielegalnym oprogramowaniem i wyciekiem danych?
 
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
Kilka mniej oczywistych zagrożeń dla ciągłości operacyjnej centrum przetwarza...
 
Linux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. RecepturyLinux. Bezpieczeństwo. Receptury
Linux. Bezpieczeństwo. Receptury
 
Zabezpieczenia systemów komputerowych
Zabezpieczenia systemów komputerowychZabezpieczenia systemów komputerowych
Zabezpieczenia systemów komputerowych
 
Bezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach WindowsBezpieczeństwo w sieciach Windows
Bezpieczeństwo w sieciach Windows
 
Hack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polskaHack Proofing Linux. Edycja polska
Hack Proofing Linux. Edycja polska
 
101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
 
Wskazania dla użytkownika systemu operacyjnego
Wskazania dla użytkownika systemu operacyjnegoWskazania dla użytkownika systemu operacyjnego
Wskazania dla użytkownika systemu operacyjnego
 
Jak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIXJak wyglada monitoring w PLIX
Jak wyglada monitoring w PLIX
 
Monitoring sieci
Monitoring sieciMonitoring sieci
Monitoring sieci
 
Cyberbezpieczeństwo infografika
Cyberbezpieczeństwo infografikaCyberbezpieczeństwo infografika
Cyberbezpieczeństwo infografika
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 

Plus de msobiegraj

[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rokmsobiegraj
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewallmsobiegraj
 
2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)msobiegraj
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)msobiegraj
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portalsmsobiegraj
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacjamsobiegraj
 
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjiWeb Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjimsobiegraj
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkumsobiegraj
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Studymsobiegraj
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki ubocznemsobiegraj
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemmsobiegraj
 

Plus de msobiegraj (12)

[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok[ISSA] Zagrożenia na 2008 rok
[ISSA] Zagrożenia na 2008 rok
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDS
 
[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall[ISSA] Web Appication Firewall
[ISSA] Web Appication Firewall
 
2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)2FA w bankowosci (Bartosz Nowak)
2FA w bankowosci (Bartosz Nowak)
 
Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)Strong Authentication (Michal Sobiegraj)
Strong Authentication (Michal Sobiegraj)
 
Minor Mistakes In Web Portals
Minor Mistakes In Web PortalsMinor Mistakes In Web Portals
Minor Mistakes In Web Portals
 
ISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- AktywacjaISSA Wroclaw -- Aktywacja
ISSA Wroclaw -- Aktywacja
 
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacjiWeb Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
Web Application Firewall -- potrzeba,rozwiązania, kryteria ewaluacji
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadkuDrobne błędy w portalach WWW -- prawdziwe studium przypadku
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
 
Technology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case StudyTechnology Risk Management of Web Applications — A Case Study
Technology Risk Management of Web Applications — A Case Study
 
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczneJak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
Jak maszyny rozpoznają ludzi? Odwrotny test Turinga i jego skutki uboczne
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiemReputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
 

[ISSA] Incident Responce

  • 1. Reagowanie na incydenty Wojciech Wirkijowski ww@reconlab.com
  • 2. Agenda: ● wprowadzenie i definicje ● przygotowanie do reagowania na incydenty ● po wykryciu zdarzenia ● postępowanie z dowodami – Chain of custody Reagowanie na incydenty
  • 3. Źródła: ● Incident Response & Computer Forensics – K.Mandia, C. Prosise, M. Pepe ● „Logs in Incident Response” - A. Chuvakin ● www.sans.org ● www.incident-response.net Reagowanie na incydenty
  • 4. Czym jest incydent (w sensie informatycznym)? Każdą bezprawną, nieautoryzowaną lub nieakceptowalną akcją, która została dokonana przy użyciu komputera i/lub sieci komputerowej. Reagowanie na incydenty
  • 5. Przykłady: ● Kradzież tajemnicy handlowej ● Nieautoryzowane lub bezprawne wtargnięcie do systemów komputerowych ● Malwersacje ● Pornografia dziecięca ● Ataki DoS ● Naruszenie relacji biznesowych ● Wyłudzenia Reagowanie na incydenty
  • 6. Cele do osiągnięcia w reagowaniu na incydenty: ● Zapobieżenie bezładnej, nieskoordynowanej reakcji ● Potwierdzenie lub zaprzeczenie zaistnienia incydentu ● Ustanowienie kontroli nad poprawnym zbieraniem i ewidencjonowaniem dowodów ● Gromadzenie właściwych i trafnych informacji ● Ochrona prywatności ustanowionej przez prawo ● Minimalizacja zakłóceń w działaniach organizacji i działaniu systemów komputerowych Reagowanie na incydenty
  • 7. Cele do osiągnięcia w reagowaniu na incydenty – c.d. : ● Doprowadzenie do rozpoczęcia działań kryminalnych lub cywilnych wobec sprawcy/sprawców ● Dostarczenie dokładnych raportów i użytecznych rekomendacji ● Umożliwienie szybkiej detekcji i przeciwdziałania ● Minimalizacja ekspozycji i utraty danych ● Ochrona reputacji i zasobów organizacji ● Przygotowanie się/zapobieżenie podobnym sytuacjom w przyszłości Reagowanie na incydenty
  • 9. Przygotowanie do działania w odpowiedzi na zdarzenia: ● Wprowadzenie zabezpieczeń typu host-base i network-base ● Szkolenia użytkowników ● Wdrożenie systemów ID (intrusion detection) ● Stworzenie mocnej kontroli dostępu ● Okresowe testowanie podatności systemów na zagrożenia ● Regularne archiwizowanie danych (kopie zapasowe) Reagowanie na incydenty
  • 10. Przygotowanie zespołu, który podejmie działania po zaistnieniu zdarzenia, w tym przygotowanie: ● sprzętu do przeprowadzenia śledztwa ● oprogramowania do przeprowadzenia śledztwa ● dokumentacji (formularzy) ● polityki i procedury postępowania na wypadek zdarzeń ● wyszkolenie i wyćwiczenie ludzi odpowiedzialnych za podjęcie działań pozdarzeniowych Reagowanie na incydenty
  • 12. Przygotowanie do incident response w skrócie: ● Pojedyncze maszyny ● utworzenie sum kontrolnych dla krytycznych plików ● zwiększenie lub włączenie bezpiecznego logwania ● wdrożenie systemów zabezpieczeń host-side ● tworzenie kopii zapasowych ● edukacja użytkowników Reagowanie na incydenty
  • 13. Z warsztatów Confidence 2007 „Logs in Incident Response” Antona Chuvakina: Log analysis. Why NOT ● “Real hackers don’t get logged!” ☺ ● Why bother? No, really ... ● Too much data (>x0 GB per day) ● Too hard to do ● Is this device lying to me? ☺ ● No tools “that do it for you” ● – Or: tools too expensive ● What logs? We turned them off Reagowanie na incydenty
  • 14. Przygotowanie do incident response w skrócie: ● Sieć komputerowa ● wdrożenie firewalli i idsów (oczywiste) ● access-listy na routerach ● stworzenie topologii sieci (np. w Visio) ● szyfrowanie komunikacji ● wymaganie uwierzytelniania Reagowanie na incydenty
  • 15. Przygotowanie do incident response w skrócie: ● Stworzenie i wdrożenie polityk i procedur ● uwzględnienie czynników biznesowych ● uwzględnienie czynników prawnych ● uwzględnienie czynników polityki firmy ● uwzględnienie czynników technicznych Brak polityk i procedur: ● panika i początkowa reakcja równolegle ● przeciwdziałanie skutkom i śledztwo w tym samym czasie ● dwa kroki do przodu i dziesięć w tył Reagowanie na incydenty
  • 16. Sprzętowe minimum w reagowaniu na incydenty: ● komputer z: ● procesorem pentium 1GHz lub więcej ● minimum 256 MB RAM ● dyski IDE o dużej pojemności ● dyski SCSI o dużej pojemności ● karty i kontrolery SCSI ● szybki napęd optyczny CD/DVD RW ● kasetki do streamera ● dodatkowo: ● gniazda zasilające dla urządzeń peryferyjnych ● kable zasilające ● różnego typu przewody SCSI z terminatorami ● adaptery parallel-to-SCSI ● skrętkę UTP CAT 5 i huby/switche ● zasilanie awaryjne (UPS) Reagowanie na incydenty
  • 17. czyste płyty CD/DVD – 100 szt lub więcej ● etykiety (naklejki) na płyty ● marker do oznaczania płyt ● teczki biurowe wraz z etykietami ● instrukcje użytkownika dla posiadanego sprzętu ● kamerę cyfrową/aparat cyfrowy ● zamykane torebki/opakowania do zbierania dowodów ● drukarkę i papier Reagowanie na incydenty
  • 18. Ustanowienie zespołu odpowiedzialnego za przeprowadzenie postępowania pozdarzeniowego CIRT (Computer Incident Response Team): ● ustalenie misji zespołu ● stworzenie zespołu stałego lub powoływanego na czas dochodzenia ● wyznaczenie osób odpowiedzialnych i kierownika zespołu ● szkolenia i ćwiczenia Reagowanie na incydenty
  • 20. Cele: ● natychmiastowe i efektywne podejmowanie decyzji ● jak najszybsze zebranie informacji w sposób zapewniający niepodważalność dowodów ● odpowiednia sklasyfikowanie zdarzenia ● szybkie poinformowanie osób odpowiedzialnych za wezwanie/zmobilizowanie zespołu CIRT Reagowanie na incydenty
  • 22. Zapisywanie wszystkich niezbędnych informacji Lista czynności do wykonania w pierwszej kolejności: ● data i czas wykrycia lub rozpoczęcia zdarzenia ● dane kontaktowe osoby odbierającej zgłoszenie ● dane kontaktowe osoby zgłaszającej ● typ zdarzenia ● lokalizacja komputerów objętych zdarzeniem ● data pierwszego zauważenia sytuacji ● opis fizycznych zabezpieczeń w miejscach zdarzeń ● w jaki sposób wykryto zdarzenie ● kto miał dostęp do systemów po wykryciu incydentu ● kto miał fizyczny dostęp do systemów po wykryciu incydentu ● kto obecnie wie o incydencie Reagowanie na incydenty
  • 23. Lista czynności do wykonania w drugiej kolejności: ● Zgromadzenie danych - Szczegóły systemu ● marka i model systemu ● system operacyjny ● główny użytkownik(-cy) ● administrator systemu ● adres sieciowy lub IP ● nazwa sieciowa ● rodzaje połączeń (np. modem) ● krytyczne informacje znajdujące się w systemie Reagowanie na incydenty
  • 24. Dochodzenie: ● czy zdarzenie nadal trwa i postępuje ● czy niezbędne jest monitorowanie sieci ● czy system podłączony jest do internetu/sieci; jeśli nie to kto wydał polecenie odłączenia systemu i kiedy będzie podłączony z powrotem ● czy istnieją kopie zapasowe ● jakie kroki przeciwdziałania zostały już podjęte ● czy zebrane informacje są przechowywane w bezpieczny zapobiegający sfałszowaniu sposób Reagowanie na incydenty
  • 25. Narzędzia w incident response: ● narzędzia dla różnych systemów operacyjnych ● opisanie i oznaczenie nośników zawierających narzędzia ● sprawdzenie zależności ● stworzenie sum kontrolnych dla narzędzi ● zabezpieczenie przed zapisem nośników z programami narzędziowymi ● stosowanie narzędzi sprawdzonych i uznanych przez środowisko specjalistów (prawo) ● korzystanie tylko z zaufanych kopii Reagowanie na incydenty
  • 26. Zebranie ulotnych danych: ● uruchomienie zaufanej powłoki (cmd.exe, bash) ● zapisanie czasu i daty systemowej ● sprawdzenie kto jest zalogowany do systemu ● zapisanie modyfikacji, stworzenia i dostępu do wszystkich plików ● sprawdzenie otwartych portów sieciowych (netstat, Fport) ● wylistowanie wszystkich uruchomionych procesów ● wylistowanie wszystkich połączeń ● zapisanie czasu i daty systemowej (!!! drugi raz!!!) Reagowanie na incydenty
  • 27. Zebranie ulotnych danych c.d.: ● udokumentowanie wszystkich wydanych poleceń (doskey /history, .bash_history, script) Najlepszym rozwiązaniem jest wykonanie wszystkich powyższych kroków poprzez wcześniej przygotowany skrypt (.bat, .sh). Zapobiegnie to pomyłkom, skróci znacząco czas śledztwa i zwiększy wiarygodność zebranych danych. Reagowanie na incydenty
  • 28. Zebranie innych ważnych danych: ● logi ● rejestry/pliki konfiguracyjne ● uzyskanie haseł systemowych ● zdumpowanie pamięci RAM (userdump.exe, zmodyfikowane dd) SUMY KONTROLNE!!! Reagowanie na incydenty
  • 29. Rootkity: załóżmy, że wywołano program: tcpdump -x -v -n elementy tablic: argv[0] = tcpdump argv[1] = -x argv[2] = -v argv[3] = -n argc = 4 zróbmy coś takiego: strcpy(argv[0], ”xterm”) i mamy „uruchomiony” xterm w trybie sieciowym ;) Pomocne narzędzia kstat. Reagowanie na incydenty
  • 30. grafzero:/home/wojtek# ps ax | grep xmms 5018 ? SLsl 3:18 /usr/bin/xmms 6110 pts/2 S+ 0:00 grep xmms grafzero:/home/wojtek# cd /proc/5018 grafzero:/proc/5018# ls -al razem 0 dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 . dr-xr-xr-x 118 root root 0 2008-03-10 15:45 .. -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 auxv -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 cmdline -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 cpuset lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 cwd -> /home/wojtek -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 environ lrwxrwxrwx 1 wojtek wojtek 0 2008-03-10 22:58 exe -> /usr/bin/xmms dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 fd -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 maps -rw------- 1 wojtek wojtek 0 2008-03-11 08:55 mem -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 mounts -r-------- 1 wojtek wojtek 0 2008-03-11 08:55 mountstats -rw-r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_adj -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 oom_score lrwxrwxrwx 1 wojtek wojtek 0 2008-03-11 08:55 root -> / -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 smaps -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 stat -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 statm -r--r--r-- 1 wojtek wojtek 0 2008-03-10 21:45 status dr-xr-xr-x 7 wojtek wojtek 0 2008-03-11 08:55 task -r--r--r-- 1 wojtek wojtek 0 2008-03-11 08:55 wchan Reagowanie na incydenty
  • 31. grafzero:/proc/5018# cd fd grafzero:/proc/5018/fd# ls -al razem 0 dr-x------ 2 wojtek wojtek 0 2008-03-11 08:55 . dr-xr-xr-x 4 wojtek wojtek 0 2008-03-10 21:45 .. lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 0 -> /dev/null l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 1 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 10 -> socket:[35500] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 11 -> pipe:[35504] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 12 -> pipe:[35504] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 13 -> socket:[6229] lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 14 -> socket:[6234] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 15 -> /home/wojtek/mp3/SP/The Smashing Pumpkins - Mellon Collie and the Infinite Sadness/CD1/The Smashing Pumpkins - 09 - Love.mp3 lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 16 -> /dev/snd/timer lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 17 -> /dev/snd/pcmC0D0p lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 18 -> /dev/snd/controlC0 l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 2 -> /home/wojtek/.xsession-errors lrwx------ 1 wojtek wojtek 64 2008-03-11 08:58 3 -> socket:[35498] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 4 -> pipe:[6164] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 5 -> pipe:[6164] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 6 -> pipe:[6165] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 7 -> pipe:[6165] lr-x------ 1 wojtek wojtek 64 2008-03-11 08:58 8 -> pipe:[6166] l-wx------ 1 wojtek wojtek 64 2008-03-11 08:58 9 -> pipe:[6166] grafzero:/proc/5018/fd# cd .. grafzero:/proc/5018# cat cmdline /usr/bin/xmms incydenty Reagowanie na
  • 32. Duplikowanie dysków: ● skopiowanie przy pomocy dd lub komercyjnych rozwiązań ● stworzenie sum kontrolnych ● tworzymy kopie kopii do pracy ● wykorzystanie czystych nośników do tworzenia kopii (dd if=/dev/zero of=/dev/hdb) Reagowanie na incydenty
  • 33. Monitorowanie sieci: ● wybranie punktów zbierania danych ● uruchomienie dodatkowego systemu ID wykrywającego ruch naruszający polityki i procedury w trybie stealth ● zbieranie danych statystycznych i sesji (także przy wykorzystaniu logów z firewalli, routerów) ● logowanie pełnych pakietów Reagowanie na incydenty
  • 34. Przydatny sprzęt: ● SPAN porty na switchach ● TAPy (test access point) ● HUBy – w ostateczności !!! Reagowanie na incydenty
  • 36. ● zasada najlepszej ewidencji ● autoryzowanie ewidencji ● dane muszą być gromadzone w taki sposób aby nie móc podważyć ich wiarygodności ● możliwość śledzenia co się dzieje z danymi od momentu zebrania do zakończenia śledztwa ● przechowywanie danych w bezpiecznym miejscu ● wyznaczenie osób odpowiedzialnych za zabezpieczenie danych ● okresowe audyty w celu sprawdzenia dochowania procedur ● sumy kontrolne !!! Reagowanie na incydenty
  • 37. Obchodzenie się z danymi: ● przy sprawdzaniu danych znajdujących się na maszynie zapisz informacje identyfikujące system ● zrób zdjęcia komputera/nośników ● oznakuj nośniki i dokładnie opisz (oryginał, kopia) ● zabezpiecz fizycznie. elektromagnetycznie itp. nośniki danych ● zewidencjonuj dowody w przeznaczonym do tego notesie (kto, kiedy, oryginał, kopia) ● stwórz kopie zapasowe ewidencji ● dane mogą zostać przekazane tylko wyznaczonym osobom ● audyty danych Reagowanie na incydenty
  • 38. Opis badanego systemu: ● kto korzystał do pomieszczenia gdzie znaleziono dowody ● kto ma dostęp do pomieszczenia gdzie znaleziono dowody ● kto aktualnie używa systemu ● umiejscowienie komputera w pomieszczeniu ● stan systemu: włączony/wyłączony, dane na ekranie ● data i czas BIOSu ● połączenia sieciowe (ethernet, modem) ● kto był obecny w trakcie zbierania danych ● numery seryjne, modele, producenci komponentów komputerowych ● urządzenia peryferyjne podłączone do systemu Reagowanie na incydenty
  • 39. Fotografie: ● ochrona śledczych przed oskarżeniem o uszkodzenie/ zniszczenie przedmiotów ● upewnienie się że system zostanie przywrócony do poprzedniego stanu po zebraniu danych ● utrwalenie podłączeń sieciowych (kabli), urządzeń peryferyjnych, konfiguracji Na zdjęciach: ● nie umieszczaj jakichkolwiek osób (jeśli to możliwe) ● uwzględnij dodatkowe oznaczenia – np. numer przy przedmiocie ● używaj tylko karty przeznaczonej do śledztwa (nie wolno użyć tej samej, na której znajdują się zdjęcia z wakacji!!) Reagowanie na incydenty
  • 40. Oznaczenia przedmiotów: ● Miejsce i osoba od której dane zostały odebrane ● czy wymagana jest zgoda na sprawdzenie nośnika ● opis przedmiotów ● jeśli przedmiotem jest nośnik danych, opis jakie dane się na nim znajdują ● data i czas odebrania ewidencji ● Imię i nazwisko osoby, która jako pierwsza odebrała ewidencję ● numer sprawy i numer dowodu Reagowanie na incydenty
  • 41. Raporty w skrócie: ● dokładny opis i szczegóły zdarzenia ● zrozumiałe dla podejmujących decyzje ● przygotowane w sposób zapobiegający jakiejkolwiek krytyce ● nie zawierające błędnych interpretacji ● z odwołaniami (referencjami) do źródeł ● zawierające wszystkie informacje do wytłumaczenia wniosków ● wnioski, opinie, rekomendacje Reagowanie na incydenty
  • 42. Dziękuję :) Pytania? Reagowanie na incydenty