Inhaltsverzeichnis

Security Incident Response in der DFN-AAI

Mit der Anzahl der verfügbaren Diensten (Service Provider) und teilnehmenden Einrichtungen (Identity Provider) vergrößert sich in einer Föderation auch die Angriffsfläche für Attacken aller Art. Auf Seiten der Identity Provider ist dies typischerweise Identitätsdiebstahl und der damit verbundene illegale Zugriff auf geschützte Daten sowie andere Ressourcen bei Service Providern. Bei Service Providern besteht die Gefahr, dass im Falle eines Angriffs unberechtigte Dritte Zugriff auf personenbezogene oder sonstige Nutzerdaten erlangen. In beiden Fällen ist es wichtig, die jeweilige(n) Gegenstelle(n) rechtzeitig zu informieren und die bestehenden Sicherheitslücken schnellstmöglich zu schließen.

Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse und Kommunikationskanäle definiert, die bei Sicherheitsvorfällen mit AAI-Bezug eine schnelle Eindämmung des Problems unter Einbeziehung aller Betroffenen ermöglichen.

Was tun im Fall eines Incidents?

Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter:
E-Mail: security@aai.dfn.de, Telefon: +49-40-808077-590

Die wichtigsten Schritte im Falle eines Security Incidents sind unter 4. Was tun bei einem Security Incident aufgelistet.

Vorbereitende Maßnahmen

Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als Security-Kontakt zu hinterlegen und den Empfehlungen des Sirtfi Frameworks zu folgen. (Liste der Security- und sonstigen Kontakte in der DFN-AAI: unter https://tools.aai.dfn.de/entities/ „All Contacts“ auswählen)

Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: AARC Deliverable I051: Guide to Federated Security Incident Response for Research Collaboration, sowie Version 1 und Version 2 der REFEDS-Spezifikation des Security Incident Response Trust Framework for Federated Identity (Sirtfi). Es geht um Best Practices für die Handhabung von IT-Sicherheitsvorfällen in der DFN-AAI und darum, was teilnehmende Organisationen darüber hinaus tun können, um sich am offiziellen Sirtfi Framework zu beteiligen.
Metadatentechnisch wird die Sirtfi-Compliance über ein Entity Attribut ausgedrückt.

1. Worum geht es bei Sirtfi ("certify")?

Sirtfi (sprich: „certify“) steht für „Security Incident Response Trust Framework for Federated Identity“. Dieses Framework beschreibt einen geregelten Umgang mit Sicherheitsvorfällen in Föderationen. Was ist zu tun, wenn ein Benutzeraccount einer Hochschule gehackt wird und jemand mit den Zugangsdaten Verlagsinhalte abzusaugen beginnt? Was, wenn die Datenbank eines Service Providers abhanden kommt, egal ob sie Benutzer- oder Forschungsdaten enthält? Von Sicherheitsvorfällen ist in einer föderierten Infrastruktur wie der DFN-AAI schnell mehr als nur eine Organisation betroffen. Die Handhabung eines solchen Problems muss daher organisationsübergreifend innerhalb der Föderation geschehen, oder sogar international, auf föderationsübergreifender Ebene (eduGAIN). Obwohl die einzelnen Schritte sich nicht grundlegend von denen sonstiger Incident Response Prozeduren im IT-Umfeld unterscheiden, wird die Reaktion durch Verteiltheit und Diversität der Systeme und die Abwesenheit einer zentralen Stelle erschwert. Die Spezifikation dieses Frameworks wird von REFEDS publiziert, einer internationalen Kooperationsgruppe von Föderationen im Bereich Forschung und Lehre.

Die unten vorgestellten Best Practices für den Umgang mit IT-Sicherheitsvorfällen basieren darauf, dass es in der DFN-AAI wie in den meisten Föderationen eben keine zentrale Governance-Struktur gibt. Sie setzen stattdessen auf die Bereitschaft der beteiligten Organisationen, sich freiwillig auf Regeln für den Betrieb ihrer IT-Infrastruktur im Bereich AAI zu verpflichten. Organisationen, die sich bewusst in die Lage versetzen, Sicherheitsvorfälle auch im Föderationsumfeld kompetent zu handhaben, stärken ihre eigene Vertrauenswürdigkeit in der Community. Sie garantieren damit anderen Föderationsteilnehmern, dass die eigene Organisation sich auf gemeinsame, grundlegende Regeln verpflichtet. Sie zeigen nicht nur ihre Fähigkeit, sondern auch ihren expliziten Willen, bei sicherheitsrelevanten Vorfällen mit anderen Teilnehmern zusammenzuarbeiten.


2. Security Incident Response in der DFN-AAI

Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen Dokumentation im GÉANT Wiki. Hier werden unter Bezugnahme auf Sirtfi entsprechende Rollen und Maßnahmen beschrieben, die bei einem Security Incident zum Tragen kommen.

Definitionen

Maßnahmen für Teilnehmende

https://wiki.geant.org/display/AARC/Procedure+for+Federation+Participants

Maßnahmen für den Föderationsbetreiber

https://wiki.geant.org/display/AARC/Procedure+for+Federations

Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle


Ablaufdiagramm


3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI

Teilnehmende Organisationen, die sich offiziell auf die Regeln des Sirfti-Frameworks verpflichten möchten, müssen einige Schritte unternehmen, um in ihren Metadaten das zusätzliche Entity Attribut veröffentlichen zu dürfen. Die Teilnahme ist freiwillig.

Definitionen

Die Konformität mit Sirtfi(2) wird in den Föderationsmetadaten über ein entsprechendes Entity Attribut modelliert.

Teilnahmevoraussetzungen

Regeln

Siehe hierzu auch die Sirtfi FAQ.


4. Was tun bei einem Security Incident am IdP oder SP?

1. Erstbewertung und Feststellung eines Security Incidents

2. Befolgung organisationsinterner Prozesse

Ihre Organisation hat eigene Prozesse, wie sie mit Security Incidents umgeht. Diesen folgen Sie zuerst. Sie unternehmen in dem Rahmen sowieso Schritte zum Containment und dokumentieren sie.

3. Meldung an den Sicherheitskontakt der DFN-AAI

4. Analyse des Vorfalls

5. Teilen Sie neue Erkenntnisse so oft wie möglich

6. Beantwortung und Dokumentation von Rückfragen

7. Fehlerbehebung und Wiederinbetriebnahme der betroffenen Dienste/Server

8. Abschlussbericht

9. Aktualisierung von Dokumentation und Prozessen