Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Erstellen eines Incident-Response-Plans

10.2. Erstellen eines Incident-Response-Plans

Es ist wichtig, das ein Vorfallsreaktionsplan formuliert, im gesamten Unternehmen unterst�tzt, in die Tat umgesetzt und regelm��ig getestet wird. Ein guter Vorfallsreaktionsplan kann die Auswirkungen einer Sicherheitsverletzung minimieren. Desweiteren kann er negative Publicity reduzieren.

Aus der Perspektive eines Sicherheitsteams ist es nicht wichtig, ob ein Versto� auftritt (da solche Vorkommnisse ein vorherzusehender Teil der Verwendung eines vertrauensunw�rdigen Tr�gernetzwerks wie das Internet sind), sondern wann dieses Vergehen auftritt. Denken Sie nicht, das ein System grunds�tzlich schwach und anf�llig ist, sondern machen Sie sich klar, dass mit gen�gend Zeit und Ressourcen jemand selbst in das sicherste System oder Netzwerk einbrechen kann. Besuchen Sie doch einmal die Security Focus Webseite unter https://www.securityfocus.com/ f�r aktuelle und detaillierte Informationen zu neuesten Sicherheitsbr�chen und Anf�lligkeiten, von der h�ufigen Verunstaltung von Firmenwebseiten bis hin zum legend�ren Angriff auf die Root-DNS-Nameserver im Jahre 2002[1].

Der positive Aspekt der Erkenntnis, dass einer Systemverletzung unvermeidbar ist, ist derjenige, dass das Sicherheitsteam einen Aktionsplan entwickeln kann, der m�gliche Sch�den verringert. Die Kombination eines Aktionsplans mit Kompetenz erm�glicht dem Team, auf widrige Umst�nde formell zu reagieren.

Der Vorfallsreaktionsplan kann in vier Phasen unterteilt werden:

  • Sofortige Aktion, um den Vorfall zu stoppen oder zu minimieren

  • Untersuchen des Vorfalls

  • Wiederherstellung von betroffenen Ressourcen

  • Melden des Vorfalls an die richtigen Stellen

Eine Vorfallsreaktion muss entschieden und schnell ausgef�hrt werden. Sie l�sst in den meisten F�llen wenig Raum f�r Fehler. Dadurch, das Notf�lle geprobt und die Reaktionszeiten gemessen werden, ist es m�glich, eine Methodologie zu entwickeln, die Schnelligkeit und Exaktheit f�rdert. Eine schnelle Reaktion kann die Auswirkung auf Ressourcen und m�gliche Sch�den im Ernstfall verringern.

Ein Vorfallsreaktionsplan hat eine Anzahl von Anforderungen, inklusive:

  • Einem Team von In-House Experten (ein Computer Emergency Response Team)

  • Einer rechtlich abgesicherten und genehmigten Strategie

  • Finanzieller Unterst�tzung durch das Unternehmen

  • Unterst�tzung durch den Vorstand oder die obere F�hrungsebene

  • Eines durchf�hrbaren und getesteten Aktionsplans

  • Physikalischer Ressourcen wie Extra-Speicher, Standby-Systeme und Backup-Services

10.2.1. Ein Computer Emergency Response Team (CERT)

Ein Computer Emergency Response Team (CERT) (zu deutsch: Computer-Notfall-Reaktions-Team) ist eine Gruppe von In-House Experten, die im Falle einer Computer-Katastrophe schnell handeln k�nnen. Die Kernkompetenzen f�r ein CERT zu definieren, kann eine Herausforderung darstellen. Das Konzept von angemessenem Personal geht �ber die technische Kompetenz hinaus und umfasst logistische Faktoren wie Ort, Verf�gbarkeit und die Einstellung, das Unternehmen im Notfall allem voran zu stellen. Ein Notfall tritt niemals geplant auf; er kann jeden Moment eintreten, und alle CERT-Mitglieder m�ssen dann die von ihnen verlangte Verantwortung �bernehmen, auf einen Notfall zu jeder Zeit zu reagieren.

Typische CERT-Mitglieder sind z.B. System- und Netzwerkadministratoren sowie Mitglieder der Informationssicherheitsabteilung. Systemadministratoren liefern das Wissen und die Erfahrung in Bezug auf die Systemressourcen inklusive Daten-Backups, vorhandene Backup-Hardware und vieles mehr. Netzwerkadministratoren liefern deren Wissen �ber Netzwerkprotokolle und die F�higkeit, Netzwerk-Verkehr dynamisch umzuleiten. Informationssicherheitspersonal ist hilfreich f�r das genaueste Verfolgen von Sicherheitsproblemen und eine Post-Mortem-Analyse (nach dem Angriff) kompromittierter Systemen.

Es ist nicht immer tragbar, aber es sollte ein gewisser Personal�berschuss innerhalb eines CERT bestehen. Sind tiefergehende Kompetenzen nicht auf ein Unternehmen anwendbar, sollte zumindest Cross-Training durchgef�hrt werden. Denken Sie daran, dass wenn nur eine Person den Schl�ssel zu Datensicherheit und Integrit�t besitzt, das gesamte Unternehmen hilflos wird, falls diese Person abwesend ist.

10.2.2. Rechtliche Betrachtungen

Einige wichtige Aspekte einer Vorfallsreaktion, die betrachtet werden m�ssen, sind rechtliche Angelegenheiten. Sicherheitspl�ne sollten zusammen mit Mitarbeitern der Rechtsabteilung oder einer allgemeinen Form von Rechtsbeistand erarbeitet werden. Genauso wie jede Firma eine eigene Sicherheitspolice im Unternehmen haben sollte, so sollte jedes Unternehmen seine eigene Methode, Vorf�lle vom rechtlichen Standpunkt aus zu behandeln, haben. Regionale, landesweite oder bundesweite Gesetze w�rden den Rahmen dieses Handbuchs sprengen, werden jedoch kurz angerissen, da die Methodologie f�r eine Post-Mortem-Analyse zumindest teilweise von rechtlicher Seite aus vorgegeben wird. Die Rechtsabteilung kann die technischen Mitarbeiter �ber die Auswirkungen von Sicherheitsverletzungen, die Gefahren der Verbreitung von Kundendaten (pers�nliche, gesundheitliche oder finanzielle Daten) und die Wichtigkeit, den Service in unternehmenskritischen Umgebungen wie Krankenh�user oder Banken wiederherzustellen, aufkl�ren.

Fu�noten

[1]

https://www.gcn.com/21_32/web/20404-1.html

 
 
  Published under the terms of the GNU General Public License Design by Interspire