Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning



Relevanta dokument
Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Datautvinning från digitala lagringsmedia, 7.5 hp

Datautvinning från digitala lagringsmedia

Datautvinning från digitala lagringsmedia, 7.5 hp

Analysstrategi. Förutsättningar. Översikt. Windowsbaserade system. Initial respons Juridisk översyn Forensisk duplicering (292)

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

INCIDENTRAPPORT FÖR DRIFTSTÖRNING VÄSTBERGA DATACENTER, ZON 1

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

F6 Exchange EC Utbildning AB

Säkra trådlösa nät - praktiska råd och erfarenheter

FÖRHINDRA DATORINTRÅNG!

Att Säkra Internet Backbone

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Kursplaner för Administartör IT-System Innehåll

Tekniskt driftdokumentation & krishantering v.1.0

Att hantera överbelastningsattacker 1

Introduktion till protokoll för nätverkssäkerhet

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

GDPR. General Data Protection Regulation

10 TIPS FÖR ATT SÄKRA DIN HEMSIDA. Hur du gör för skydda dig mot att din hemsida ska hackas.

Din guide till en säkrare kommunikation

ISA Informationssäkerhetsavdelningen

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Säkerhet och förtroende

Gislaveds kommun. Övergripande säkerhetsgranskning. säkerhet angående externt och internt dataintrång. Informationssäkerhetsspecialister:

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Holm Security VMP. Nästa generations plattform för sårbarhetsanalyser

Tekniska lösningar som stödjer GDPR

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Laboration 3 MEN ---- STOPP! GÖR INTE DET


Grattis till ett bra köp!

ENKEL LATHUND SÄKER-IT DATIQ IT MED IQ

Datautvinning från digitala lagringsmedia DT2002

Novi Net handelsbolag. Produkter och tjänster

Utvärdering Kravspecifikation

Kursplanering för kurs: Datasäkerhet (DS - LUKaug08)

ANVÄNDARMANUAL, INTERAXO

Laboration 3. Du har just brutit mot din egen policy. Vad måste du nu göra?

Definition DVG A06. Varför operativsystem? Operativsystem. Översikt. - Vad är ett operativsystem?

Tekniska lösningar som stödjer GDPR

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Granskning av räddningstjänstens ITverksamhet

Vad händer med dina kortuppgifter?

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

Datasäkerhet. Informationsteknologi sommarkurs 5p, Agenda. Slideset 10. Hot mot datorsystem. Datorsäkerhet viktigare och viktigare.

Hur gör man ett trådlöst nätverk säkert?

Anmälan av personuppgiftsincident

SkeKraft Bredband Installationsguide

En guide om GDPR och vad du behöver tänka på

Säkerhetskopiera och återställa

Bilaga 3c Informationssäkerhet

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Lathund. Joint Collaboration AB Korta Gatan Stockholm Tel interaxo@joint.se. Org.nr.

Grundläggande informationssäkerhet 7,5 högskolepoäng

Manual - Phonera Online Backup

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

Råd& Rön Eftertryck, helt eller delvis, är förbjudet.

Fastställt av: Christer Lundstedt Framtaget av: Ann-Catrin Wallin Sid:1 (5) Fastställd av Ledningsgruppen för TFS

Startboxen innehåller följande utrustning. Modem Nätverkskabel Strömadapter

INNEHÅLLS FÖRTECKNING

Regler för användning av Oskarshamns kommuns IT-system

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

POLICY FÖR DATA- OCH INFORMATIONSSÄKERHET VID BMC I LUND

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Vanliga frågor och svar

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Om du misstänker att värdens privata nyckel har manipulerats kan du skapa en ny genom att utföra följande steg:

Stöd för ifyllnad av formuläret för itincidentrapportering

Policy för användande av IT

Inledande frågor 1. Hur stor kunskap har du inom säkerhetskopiering? Har stor kunskap Kan lite Kan lite

SIEM FOR BEGINNERS WHITEPAPER TELEFON WHITEPAPER. ADRESS Sentor Managed Security Services AB Björns Trädgårdsgränd STOCKHOLM

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Hämta hem 2005 års installationspaket från Skatteverkets hemsida:

Utredning om ö ppet wifi för besökare på bibliotek

Intrångsövervakning i nätverk enkelt nog för vanliga användare.

Bruksanvisning för IP-SwitchPlug801

Instruktion: Trådlöst nätverk för privata enheter

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

Så här kopplar Du in din dator. Läs detta först

Ubiquiti M5 Trådlös WiFi-länk för VAKA-system

Installation xvis besökssystem, Koncern

Manual - Storegate Team

8 Bilaga: Installationer

Handledning i informationssäkerhet Version 2.0

Skydda företagets information. Symantecs lösningar för mindre företag

Storegate MOLNTJÄNSTER FÖR MEDVETNA FÖRETAG. Storegate AB, NetPort Science Park, Pirgatan 13, KARLSHAMN, Sverige

Rätt informationssäkerhet

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

B60 Domäncentral B60 används i system vid fler än 10 st. dörrmiljöer och/ eller VAKA-bokning.

Remote Access Service

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Transkript:

Ämnesintroduktion Incidenthantering - Datautvinning Varför incidenthantering? Anledningen till att ett system ska analyseras är att en incident inträffat. Vad är en incident? Informationsstöld Systemintrång/ -försök Innehav av olaglig information Överbelastningsatacker/ resursstöld Utpressning/ -försök (12) Vårt mål? Klarlägga om en incident inträffat På ett granskningsbart sätt isolera och hantera bevis Underbygga åtal Förebygga Minimera driftstörningarna Förhindra ryktesspridning (13) 1

Översikt hela processen (15) Metodologi/ strategi Hur har systemet påverkats? Har man stulit data? Finns det misstänkta? Är incidenten känd? Vilka kostnader innebär de olika lösningarna? Vilka juridiska verktyg kan vi använda? Vilka interna verktyg kan vi använda? (20) Inhämtning Granskningsbart All tillgänglig data Etiskt korrekt Passiv inhämtning Aktiv inhämtning (26) 2

Analys Extrahera informationen Enorma mängder data måste sållas Specialistkunskaper Återskapa raderat data Skapa tidslinjer (29) Rapport Dokumentera noggrant Granskningsbar process Skriv för åklagaren, personalavdelningen, styrelsen Använd standardmallar (30) Åtgärd Vad är uppdragsgivarens huvudprioritet? Återställ system Åtgärda eventuella säkerhetshål Skapa en förberedande procedur (lär av dina misstag) Validiera (31) 3

Preventivt arbete Dokumentation och konfiguration av befintliga system Underlätta för initial respons Efter en incident inträffat vill vi ha svar på Vad har hänt? Vilka system påverkades? Vilken information påverkades? Vilka filer har modifierats? Vem kan ha orsakat incidenten? På vilket sätt ska verkstad som vanligt återupprättas? (34) Prevention - översikt Identifiera riskerna Förbered systemets noder för initial respons och återställning. Förbered nätverket genom att vidta säkerhetsåtgärder Skapa riktlinjer och styrdokument Skapa en verktygslåda Skapa ett kompetent arbetslag (34) 4

Riskanalys Affärsanalys Kritiska områden Unika kompetenser Konfidentiell information Ickepublik privat information 90-95% av attackerna kommer innifrån! (36) Förbereda enskilda noder Skapa checksummor för kritiska filer Konfigurera loggsystemet Uppdatera försvaret Virusskydd Brandväggar Systempolicys Ta backuper Utbilda användarna (36) Checksummor Ett värde baserat på en viss datamängds attribut. Exempel: Checksumman för en apelsin skulle kunna vara rund och orange Checksumman för en datafil som består av värdena 2, 7, 9, 5, 3 skulle kunna vara 6 om algoritmen för att beräkna checksumman var att ta entalsdelen av summan av de ingående elementen (2+7+9+5+3=26) Kan användas för att avgöra vilka filer som ändrats Måste beräknas och sparas undan INNAN incidenten Kryptografisk checksumma = icke trivialt att göra beräkningen baklänges eller för att nå en viss slutsumma (37) 5

Demo md5sum (37) Demo md5sum-script (38) Loggning - OS Unix/Linux syslogd /etc/syslog.conf acct lastcomm / acctcomm Windows Security policies / auditing Även filer and foldrar (39) 6

Loggning att tänka på Logga till filer som endast administratören har tillgång till Logga till en säker fjärrnod Logga så mycket som är möjligt - du kan alltid sortera senare Logga IP inte namnupplösta identiteter (43) Exempel: Sub-seven Man hade fått in en trojan i systemet. Systemet var möjligtvis infekterat. Detta upptäktes av antivirusmjukvaran. Grundinställningen i antivirusmjukvaran var att ta bort risker, vilket gjordes Nu kunde man i efterhand se att systemet hade varit utsatt men efterssom bevisen hade raderats så kunde ingen vidare undersökning göras. Hade trojanen funnits kvar men i karantän så hade man kunnat analyserat den och sett vilken konfiguration den haft vilka portar den jobbade på osv Med denna information hade det gått att analysera vilka noder som smittats (45) Se över säkerheten Var uppdaterad, både informationsmässigt och mjukvarumässigt Avaktivera onödiga tjänster Oanvända Okända Konfigurera noggrant Konfiguration kan vara komplext och motsägelsefullt Dålig konfiguration kan öppna säkerhetsluckor (46) 7

Backup Backup är alltid bra för återställning/ analys MEN Fanns trojanen/ viruset/ rootkitet innan du tog backup så finns den där efter du återställt systemet igen Exakt VAD gör backupprogrammet med filerna? Hur påverkar det analysen? (47) Utbilda användarna Användaren är en svag länk Varför hacka ett lösenord när man kan ringa och fråga? Vissa användare vill experimentera, sätta upp egna tjänster osv. Kanske inte bara påverkar säkerheten för DEN noden utan hela systemet En lösning är kanske att erbjuda en skyddad miljö för lekstuga (48) Nätverket Brandväggar Intrångsvarning Accesskontroll Skapa en topologi som tillåter monitorering Kryptera trafik Autentisera användare Använd NTP eller liknande (49) 8

nmap Demo Kryptering Använd ssh, scp Blockera osäkra protokoll Går även att föra in på en övergripande nivå (52) Policies och metoder Exempel (53) 9

Användaravtal Ta hänsyn till Affärsaspekten Lagligheten Den politiska aspekten Tekniska möjligheter Användaravtalet påverkar hur användaren hanterar systemet, även om det inte påverkas i den riktning du hoppats på. (63) Skapa din egen verktygslåda Skapa policies Skapa procedurer och metoder Hårdvara Mjukvara Nätverksmonitor (67) Hårdvara Kraftfull dator med lagringskapacitet och backupmöjligheter Möjlighet att koppla in en stor bredd av olika hårdvaror Övrigt smått och gott Verktyg för bevishantering (67) 10

Mjukvara Operativsystem Bootdiskar Forensisk mjukvara Drivrutiner Backup (68) Nätverk Nätverksanalysator kan vara Speciell hårdvara Dator med speciell mjukvara och nätverkskort i promiskuös mode (68) Team Målet Formell granskningsbar process Fördomsfri (unbiased) Snabbt kunna dra slutsats om intrång verkligen skett Kunna uppskatta skadans omfattning Kunna erbjuda 24/7-support under ärendet Kontrollera och begränsa incidenten Samla in och dokumentera bevis Kunna hämta in ytterligare resurser vid behov / top management Kunna bidra med expertutlåtanden (69) 11

Utbilda teamet Specialistkunskaper är färskvara Lagar ändras Politik ändras Ett community kan vara ett bra stöd (70) Förbered Läs Incident Response, s 1-32 Skriv max en A4 om ett verkligt fall. Relatera till incident-kedjan. Förbered Läs Incident Response, s 33-74 Läs utdrag 1 ur FörUndersökningsProtokollet (FUP) för målet Pirate Bay Fundera på vad som sägs med bakgrund av dagens föreläsning Fundera över Vilka argument finns det för att använda checksummor? Hade man inte lika gärna kunnat jämföra hela filer med filer ur backupen? Valfria fördjupningsuppgifter Läs fördjupning om hur md5 fungerar Läs fördjupning om svagheter hos md5 Läs fördjupning om hur man kan använda nmap 12

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss