Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 10. Vorfallsreaktion | Nach vorne |
Es ist wichtig, das ein Vorfallsreaktionsplan formuliert, im gesamten Unternehmen unterstützt, in die Tat umgesetzt und regelmäßig getestet wird. Ein guter Vorfallsreaktionsplan kann die Auswirkungen eines Sicherheitsbruches minimieren. Desweiteren kann er negative Publicity reduzieren.
Aus der Perspektive eines Sicherheitsteams ist es nicht wichtig, ob ein Einbruch auftritt (da solche Vorkommnisse ein vorherzusehender Teil der Verwendung eines vertrauensunwürdigen Trägernetzwerks wie das Internet sind), sondern wann dieser Einbruch auftritt. Denken Sie nicht, das ein System grundsätzlich schwach und anfällig ist, sondern machen Sie sich klar, dass mit genügend Zeit und Ressourcen jemand selbst in das sicherste System oder Netzwerk einbrechen kann. Besuchen Sie doch mal die Security Focus Webseite unter http://www.securityfocus.com/ für aktuelle und detaillierte Informationen zu neuesten Sicherheitsbrüchen und Anfälligkeiten, von der häufigen Verunstaltung von Firmenwebseiten bis hin zu dem Angriff auf die 13 Root-DNS-Nameserver in 2002, bei dem versucht wurde, den Internetzugang der ganzen Welt zu kompromittieren [1].
Der positive Aspekt der Erkenntnis, dass ein Systemeinbruch unvermeidbar ist, ist, dass das Sicherheitsteam einen Aktionsplan entwickeln kann, der mögliche Schäden verringert. Die Kombination eines Aktionsplans mit Kompetenz ermöglicht dem Team, auf widrige Umstände formell zu reagieren.
Der Vorfallsreaktionsplan kann in vier Phasen unterteilt werden:
Sofortige Aktion, um den Vorfall zu stoppen oder zu minimieren
Untersuchen des Vorfalls
Wiederherstellung von betroffenen Ressourcen
Melden des Vorfalls an die richtigen Stellen
Eine Vorfallsreaktion muss entschieden und schnell ausgeführt werden. Sie lässt in den meisten Fällen wenig Raum für Fehler. Dadurch, das Notfälle geprobt und die Reaktionszeiten gemessen werden, ist es möglich, eine Methodologie zu entwickeln, die Schnelligkeit und Exaktheit fördert. Eine schnelle Reaktion kann die Auswirkung auf Ressourcen und mögliche Schäden im Ernstfall verringern.
Ein Vorfallsreaktionsplan hat eine Anzahl von Anforderungen, inklusive:
Ein team von in-house Experten (ein Computer Emergency Response Team)
Eine rechtlich abgesicherte und genehmigte Strategie
Finanzielle Unterstützung durch das Unternehmen
Unterstützung durch das Management
Ein durchführbarer und getesteter Aktionsplan
Physische Ressourcen wie Extra-Speicher, Standby-Systeme und Backup-Services
Ein Computer Emergency Response Team (CERT) (zu deutsch: Computer-Notfall-Reaktions-Team) ist eine Gruppe von in-house Experten, die im Falle einer Computer-Katastrophe schnell handeln können. Die Kernkompetenzen für ein CERT zu definieren, kann eine Herausforderung darstellen. Das Konzept von angemessenem Personal geht über die technische Kompetenz hinaus und umfasst logistische Faktoren wie Ort, Verfügbarkeit und die Einstellung, das Unternehmen im Notfall allem voran zu stellen. Ein Notfall tritt niemals geplant auf; er kann jeden Moment eintreten, und alle CERT-Mitglieder müssen dann die von ihnen verlangte Verantwortung übernehmen, auf einen Notfall zu jeder Zeit zu reagieren.
Typische CERT-Mitglieder sind z.B. System- und Netzwerkadministratoren sowie Mitglieder der Informationssicherheitsabteilung. Systemadministratoren liefern das Wissen und die Erfahrung mit Systemressourcen inklusive Daten-Backups, Backup-Hardware und vieles mehr. Netzwerkadministratoren liefern ihr Wissen über Netzwerkprotokolle und die Fähigkeit, Netzwerk-Traffic dynamisch umzuleiten. Informationssicherheitspersonal ist hilfreich für das Verfolgen von Sicherheitsproblemen und eine post-mortem Analyse kompromittierter Systemen.
Es ist nicht immer tragbar, aber es sollte ein gewisser Personalüberschuss innerhalb eines CERT bestehen. Sind tiefergehende Kompetenzen nicht auf ein Unternehmen anwendbar, sollte zumindest Cross-Training durchgeführt werden. Denken Sie daran, dass wenn nur eine Person den Schlüssel zu Datensicherheit und Integrität besitzt, das gesamte Unternehmen hilflos wird, falls diese Person abwesend ist.
Einige wichtige Aspekte einer Vorfallsreaktion, die betrachtet werden müssen, sind rechtliche Angelegenheiten. Sicherheitspläne sollten zusammen mit Mitarbeitern der Rechtsabteilung oder einer allgemeinen Form an Rechtsbeistand erarbeitet werden. Genauso wie jede Firma eine eigene Sicherheitspolice im Unternehmen haben sollte, hat jedes Unternehmen seine eigene Methode, Vorfälle vom rechtlichen Standpunkt aus zu behandeln. Regionale, landesweite oder bundesweite Gesetze würden den Rahmen dieses Handbuchs sprengen, werden jedoch kurz angerissen, da die Methodologie für eine post-mortem Analyse zumindest teilweise von rechtlicher Seite aus vorgegeben wird. Die Rechtsabteilung kann die technischen Mitarbeiter über die Auswirkungen von Brüchen, die Gefahren der Verbreitung von Kundendaten (persönlich, medizinisch oder finanziell) und die Wichtigkeit, den Service in unternehmenskritischen Umgebungen wie Krankenhäuser oder Banken wiederherzustellen, aufklären.
[1] |
Zurück | Zum Anfang | Nach vorne |
Vorfallsreaktion | Nach oben | Implementieren des Vorfallsreaktionsplans |