Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:incidentresponse [2018/05/04 15:09] – Wolfgang Pempe | de:aai:incidentresponse [2023/06/06 14:56] – [Regeln] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Incident Response ====== | + | ====== |
+ | Mit der Anzahl der verfügbaren Diensten (Service Provider) und teilnehmenden Einrichtungen (Identity Provider) vergrößert sich in einer Föderation auch die Angriffsfläche für Attacken aller Art. Auf Seiten der Identity Provider ist dies typischerweise Identitätsdiebstahl und der damit verbundene illegale Zugriff auf geschützte Daten sowie andere Ressourcen bei Service Providern. Bei Service Providern besteht die Gefahr, dass im Falle eines Angriffs unberechtigte Dritte Zugriff auf personenbezogene oder sonstige Nutzerdaten erlangen. In beiden Fällen ist es wichtig, die jeweilige(n) Gegenstelle(n) rechtzeitig zu informieren und die bestehenden Sicherheitslücken schnellstmöglich zu schließen. | ||
- | Derzeit (Frühjahr 2018) arbeiten | + | Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI |
- | Einstweilen bitten wir darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https:// | + | <callout type=" |
+ | Bei Sicherheitsvorfällen, die auch andere Föderationsteilnehmer betreffen, erreichen Sie uns unter: \\ | ||
+ | **E-Mail: [[security@aai.dfn.de|security@aai.dfn.de]], Telefon: +49-40-808077-590** \\ | ||
+ | \\ | ||
+ | **Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[# | ||
+ | </callout> | ||
- | Bei Sicherheitsvorfällen, | + | <callout type=" |
+ | Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https:// | ||
+ | </ | ||
+ | |||
+ | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https:// | ||
+ | Metadatentechnisch wird die Sirtfi-Compliance über ein [[de: | ||
+ | |||
+ | ===== 1. Worum geht es bei Sirtfi (" | ||
+ | |||
+ | Sirtfi (sprich: " | ||
+ | |||
+ | Die unten vorgestellten Best Practices für den Umgang mit IT-Sicherheitsvorfällen basieren darauf, dass es in der DFN-AAI wie in den meisten Föderationen eben //keine// zentrale Governance-Struktur gibt. Sie setzen stattdessen auf die Bereitschaft der beteiligten Organisationen, | ||
+ | |||
+ | ---- | ||
+ | |||
+ | ===== 2. Security Incident Response in der DFN-AAI ===== | ||
+ | |||
+ | Die unten formulierten Handlungsempfehlungen orientieren | ||
+ | |||
+ | ==== Definitionen ==== | ||
+ | * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https:// | ||
+ | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: | ||
+ | * **Traffic Light Protocol (TLP)**: Das [[https:// | ||
+ | * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall? | ||
+ | |||
+ | ==== Maßnahmen für Teilnehmende ==== | ||
+ | https:// | ||
+ | * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein. | ||
+ | * **Meldepflicht: | ||
+ | * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb von 14 Tagen, welche Maßnahmen zur Behebung und künftigen Verhinderung des Problems oder Fehlers ergriffen wurden. Der Bericht erfolgt in einem Formular, das der Föderationsbetreiber zur Verfügung stellt. | ||
+ | * **Kommunikation mit anderen betroffenen Organisationen: | ||
+ | * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen. | ||
+ | * **Abschlussbericht: | ||
+ | * **Lessons Learned:** Die betroffene Organisation aktualisiert im Nachgang ihre Prozesse und Dokumentation. | ||
+ | |||
+ | ==== Maßnahmen für den Föderationsbetreiber ==== | ||
+ | https:// | ||
+ | * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | ||
+ | * **Information betroffener Organisationen: | ||
+ | * **Unterstützung beim „Berichtswesen“: | ||
+ | * **Unterstützung bei datenschutzkonformer Zusammenarbeit:** Der DFN-Verein bietet den Organisationen, | ||
+ | * **Dokumentation: | ||
+ | |||
+ | ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ||
+ | |||
+ | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[abuse@edugain.org|eduGAIN Security Contact]]. | ||
+ | * **Verantwortung: | ||
+ | * **Ansprechbarkeit: | ||
+ | * **Bericht: | ||
+ | |||
+ | ---- | ||
+ | |||
+ | ==== Ablaufdiagramm ==== | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ---- | ||
+ | |||
+ | ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== | ||
+ | |||
+ | Teilnehmende Organisationen, | ||
+ | |||
+ | ==== Definitionen ==== | ||
+ | |||
+ | * **Sirtfi (sprich: „certify“): | ||
+ | |||
+ | Die Konformität mit Sirtfi(2) wird in den Föderationsmetadaten über ein entsprechendes [[de: | ||
+ | |||
+ | ==== Teilnahmevoraussetzungen ==== | ||
+ | * Jede Sirtfi-konforme Organisation verpflichtet sich freiwillig und auf der Basis einer Selbsteinschätzung auf unten angeführte Regeln. | ||
+ | * Ein Security-Kontakt muss festgelegt und in den Metadaten publiziert sein. | ||
+ | |||
+ | ==== Regeln ==== | ||
+ | Siehe hierzu auch die [[https:// | ||
+ | * **Operational Security [OS]** \\ (Betriebssicherheit) \\ **Managing access to information resources, maintaining their availability and integrity, and | ||
+ | maintaining confidentiality of sensitive information is the goal of operational security.** | ||
+ | * **[OS1]: Security patches in operating system and application software are applied in a | ||
+ | timely manner.** \\ (Zeitnahes Einspielen von Sicherheitsupdates in Betriebssystemen und Applikationen) | ||
+ | * **[OS2]: A process is used to manage vulnerabilities in software operated by the | ||
+ | organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) | ||
+ | * **[OS3]: Means are implemented to detect and act on possible intrusions using threat | ||
+ | intelligence information in a timely manner.** \\ (Die Organisation verfügt über Mechanismen zur zeitnahen Intrusion Detection und für den Schutz vor unmittelbaren, | ||
+ | * **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely | ||
+ | manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) | ||
+ | * **[OS5]: Users and Service Owners (as defined by [[https:// | ||
+ | be contacted.** \\ (Innerhalb der Organisation können BenutzerInnen und Dienstverantwortliche (wie in [[https:// | ||
+ | * **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, | ||
+ | * **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the | ||
+ | organisation. This section’s assertions describe its interactions with other organisations participating in Sirtfi. They are intended to augment but not supersede local procedures when an incident may extend beyond the organisation.** | ||
+ | * **[IR1]: Provide security incident response contact information as may be requested by any federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle) | ||
+ | * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in Sirtfi in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, | ||
+ | * **[IR3]]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, | ||
+ | * **[IR4]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi** \\ (Fähigkeit und Bereitschaft, | ||
+ | * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt) | ||
+ | * **[IR6]: Respect and use the Traffic Light Protocol [[https:// | ||
+ | * **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, | ||
+ | * **[TR1]: Relevant system generated information, | ||
+ | * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.) | ||
+ | * **User Rules and Conditions [UR]** \\ (Verantwortung der teilnehmenden Organisationen gegenüber den Endnutzer: | ||
+ | * **[UR1]: The participant has defined rules and conditions of use.** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) | ||
+ | * **[UR2]: There is a process to notify all users of these rules and conditions of use.** \\ (Die Organisation stellt sicher, dass alle BenutzerInnen die Nutzungsbedingungen kennen und annehmen.) | ||
+ | |||
+ | |||
+ | ---- | ||
+ | |||
+ | ===== 4. Was tun bei einem Security Incident am IdP oder SP? ===== | ||
+ | |||
+ | ==== 1. Erstbewertung und Feststellung eines Security Incidents ==== | ||
+ | |||
+ | * Wenn Ihnen Anomalien an Ihren Systemen auffallen, untersuchen Sie sie, um zu bewerten, ob es einen unbefugten Zugriff auf Ressourcen gab oder noch gibt. | ||
+ | * Wenn Zugangsdaten zu einem oder mehreren Benutzeraccounts gestohlen wurden, sperren Sie diese(n) Account(s) umgehend. | ||
+ | * Falls nötig, kündigen Sie die vorübergehende Abschaltung eines betroffenen Dienstes an und nehmen Sie ihn vom Netz. | ||
+ | * Sichern Sie Spuren! Kopieren Sie Logdateien auf die Seite, damit sie nicht bei der Rotation gelöscht werden. Verhindern Sie eine nachträgliche Manipulation der Logs. Sichern Sie alles, was relevant sein könnte, lieber zu viel als zu wenig! | ||
+ | |||
+ | ==== 2. Befolgung organisationsinterner Prozesse ==== | ||
+ | |||
+ | Ihre Organisation hat eigene Prozesse, wie sie mit Security Incidents umgeht. Diesen folgen Sie zuerst. Sie unternehmen in dem Rahmen sowieso Schritte zum Containment und dokumentieren sie. | ||
+ | |||
+ | ==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== | ||
+ | |||
+ | * Nehmen Sie sich unsere [[de: | ||
+ | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[de: | ||
+ | * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | ||
+ | |||
+ | ==== 4. Analyse des Vorfalls ==== | ||
+ | |||
+ | * Analysieren Sie den Vorfall: Was ist geschehen? Wer ist betroffen? Worauf wurde unbefugt zugegriffen? | ||
+ | * Halten Sie sich für Rückfragen aus der Föderation verfügbar. | ||
+ | |||
+ | ==== 5. Teilen Sie neue Erkenntnisse so oft wie möglich ==== | ||
+ | |||
+ | * Halten Sie die Beteiligten auf dem neuesten Stand Ihres Wissens über den Vorfall. | ||
+ | |||
+ | ==== 6. Beantwortung und Dokumentation von Rückfragen ==== | ||
+ | |||
+ | * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen innerhalb eines lokalen Werktages zu beantworten. | ||
+ | * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, | ||
+ | * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht. | ||
+ | * Bitte beachten Sie bei der Herausgabe von Logdateien, dass sie personenbezogene Daten enthalten können. Sie sollten sie nur in anonymisierter Form an Dritte weitergeben. | ||
+ | |||
+ | ==== 7. Fehlerbehebung und Wiederinbetriebnahme der betroffenen Dienste/ | ||
+ | |||
+ | * Beheben Sie das Problem und nehmen Sie erst danach den betroffenen Dienst wieder in Betrieb. | ||
+ | * Dokumentieren Sie alle unternommenen Schritte für den Abschlussbericht. | ||
+ | |||
+ | ==== 8. Abschlussbericht ==== | ||
+ | |||
+ | * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die [[de: | ||
+ | * Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle. | ||
+ | * Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol // | ||
+ | |||
+ | ==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ||
+ | |||
+ | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse anhand des neu Gelernten. | ||