Red Hat Enterprise Linux 3: Sicherheitshandbuch | ||
---|---|---|
Zurück | Kapitel 10. Vorfallsreaktion | Nach vorne |
Nachdem ein Plan erstellt wurde, muss dieser verabschiedet und aktiv implementiert werden. Jeder Aspekt dieses Plans, der während der Implementierung in Frage gestellt wird, resultiert wahrscheinlich in langsamer Reaktionszeit und Systemausfall, falls ein Bruch vorliegt. Hier wird praktische Übung unschätzbar. Solange nicht etwas bemängelt wird, bevor der Plan aktiv in der Produktionsumgebung eingesetzt wird, sollte der Plan von allen direkt betroffenen Parteien verabschiedet und zuversichtlich implementiert werden.
Wird ein Bruch bemerkt während die CERT für eine schnelle Reaktion vor-Ort ist, können mögliche Reaktionen variieren. Das Team kann sich einigen, das Netzwerk zu trennen, die betroffenen Systeme zu trennen, das Sicherheitsloch mit einem Patch zu versehen und schnell wieder ohne weitere Komplikationen zu verbinden. Das Team kann auch die Eindringlinge überwachen und deren Aktionen verfolgen. Das Team kann sogar einen Eindringling an einen Honigtopf weiterleiten — ein System oder Netzwerksegment, das absichtlich falsche Daten enthält — um den Vorfall sicher zu verfolgen ohne Produktionsressourcen zu unterbrechen.
Die Reaktion auf einen Vorfall sollte, wenn immer möglich, von Informationssammlung begleitet werden. Das Ausführen von Prozessen, Netzwerkverbindungen, Dateien, Verzeichnissen und vielem mehr sollte aktiv in Echtzeit überprüft werden. Ein Schnappschuss der Produktionsressourcen zum Vergleich ist hilfreich beim Verfolgen von schlechten Services oder Prozessen. CERT-Mitglieder und In-House Experten stellen großartige Ressourcen bei der Verfolgung dieser Anomalien in einem System dar. Systemadministratoren wissen, welche Prozesse erscheinen sollten und welche nicht, wenn die Befehle top oder ps ausgeführt werden. Netzwerkadministratoren wissen, wie normaler Netzwerkverkehr aussieht, wenn snort oder tcpdump ausgeführt wird. Diese Team-Mitglieder kennen ihre Systeme und sollten in der Lage sein, Anomalien schneller zu entdecken als jemand, der sich mit der Infrastruktur nicht auskennt.
Zurück | Zum Anfang | Nach vorne |
Erstellen eines Vorfallsreaktionsplans | Nach oben | Untersuchen des Vorfalls |