Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:aai:incidentresponse [2018/12/19 14:17] – Wolfgang Pempe | de:aai:incidentresponse [2023/06/06 15:34] – [Maßnahmen für Teilnehmende] Wolfgang Pempe | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Security Incident Response in der DFN-AAI ====== | ====== Security Incident Response in der DFN-AAI ====== | ||
+ | Mit der Anzahl der verfügbaren Diensten (Service Provider) und teilnehmenden Einrichtungen (Identity Provider) vergrößert sich in einer Föderation auch die Angriffsfläche für Attacken aller Art. Auf Seiten der Identity Provider ist dies typischerweise Identitätsdiebstahl und der damit verbundene illegale Zugriff auf geschützte Daten sowie andere Ressourcen bei Service Providern. Bei Service Providern besteht die Gefahr, dass im Falle eines Angriffs unberechtigte Dritte Zugriff auf personenbezogene oder sonstige Nutzerdaten erlangen. In beiden Fällen ist es wichtig, die jeweilige(n) Gegenstelle(n) rechtzeitig zu informieren und die bestehenden Sicherheitslücken schnellstmöglich zu schließen. | ||
- | <WRAP center round important 60%> | + | Das Incident Response Team des DFN-CERT hat gemeinsam mit dem Team der DFN-AAI Prozesse |
- | Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https:// | + | |
- | Bei Sicherheitsvorfällen, | + | <callout type=" |
+ | Bei Sicherheitsvorfällen, | ||
+ | **E-Mail: [[security@aai.dfn.de|security@aai.dfn.de]], | ||
+ | \\ | ||
+ | **Die wichtigsten Schritte im Falle eines Security Incidents sind unter [[# | ||
+ | </ | ||
- | **E-Mail: | + | <callout type=" |
- | </WRAP> | + | Wir bitten darum, in der Metadatenverwaltung pro IdP/SP eine E-Mail-Adresse als [[https://wiki.refeds.org/ |
+ | </callout> | ||
- | + | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://wiki.geant.org/display/AARC/Generic+Security+Incident+Response+Procedure|AARC Deliverable | |
- | Diese Seite fasst die folgenden englischsprachigen Dokumente zusammen: [[https://aarc-project.eu/wp-content/uploads/2017/ | + | Metadatentechnisch wird die Sirtfi-Compliance über ein [[de: |
===== 1. Worum geht es bei Sirtfi (" | ===== 1. Worum geht es bei Sirtfi (" | ||
Zeile 22: | Zeile 28: | ||
===== 2. Security Incident Response in der DFN-AAI ===== | ===== 2. Security Incident Response in der DFN-AAI ===== | ||
- | Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https:// | + | Die unten formulierten Handlungsempfehlungen orientieren sich an der diesbezüglichen [[https:// |
==== Definitionen ==== | ==== Definitionen ==== | ||
* **Sicherheitskontakt der DFN-AAI**: Die auf der [[https:// | * **Sicherheitskontakt der DFN-AAI**: Die auf der [[https:// | ||
- | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: | + | * **Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle**: |
* **Traffic Light Protocol (TLP)**: Das [[https:// | * **Traffic Light Protocol (TLP)**: Das [[https:// | ||
* **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | * **„meldenswerter“ Security Incident / Wo ist die Schwelle zum sicherheitsrelevanten Vorfall?** | ||
Zeile 33: | Zeile 39: | ||
https:// | https:// | ||
* **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein. | * **Einhaltung bestehender organisationsinterner Prozesse:** Bereits bestehende organisationsinterne Prozesse zum Umgang mit sicherheitsrelevanten Vorfällen in der IT-Infrastruktur werden durch diese Regelung nicht berührt. Sie werden als erstes befolgt. Die Organisation leitet alle nötigen Maßnahmen zur Schadensbegrenzung ein. | ||
- | * **Meldepflicht: | + | * **Meldepflicht: |
- | * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb | + | * **Analyse und Bericht:** Die (zuerst) betroffene Organisation analysiert den sicherheitsrelevanten Vorfall und berichtet dem Föderationsbetreiber und der Koordinierungsstelle innerhalb |
- | * **Kommunikation mit anderen betroffenen Organisationen: | + | * **Kommunikation mit anderen betroffenen Organisationen: |
* **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen. | * **Wiederinbetriebnahme der betroffenen Systeme:** Erst nachdem die betroffenen Systeme repariert bzw. abgesichert sind, werden sie wieder in Betrieb genommen. | ||
* **Abschlussbericht: | * **Abschlussbericht: | ||
Zeile 41: | Zeile 47: | ||
| | ||
==== Maßnahmen für den Föderationsbetreiber ==== | ==== Maßnahmen für den Föderationsbetreiber ==== | ||
+ | https:// | ||
* **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | * **Koordination der Bearbeitung des Vorfalls:** Das CERT der DFN-AAI ist Sicherheitskontakt und Koordinierungsstelle für die Reaktion auf Sicherheitsvorfälle. | ||
- | * **Information betroffener Organisationen: | + | * **Information betroffener Organisationen: |
* **Unterstützung beim „Berichtswesen“: | * **Unterstützung beim „Berichtswesen“: | ||
* **Unterstützung bei datenschutzkonformer Zusammenarbeit: | * **Unterstützung bei datenschutzkonformer Zusammenarbeit: | ||
Zeile 50: | Zeile 56: | ||
==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ==== Maßnahmen für die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle ==== | ||
- | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[support@edugain.org|eduGAIN Security Contact]]. | + | * **ggf. Information von eduGAIN:** Wenn Teilnehmer aus anderen Föderationen von dem Vorfall betroffen sind, informiert die Koordinierungsstelle für die Reaktion auf sicherheitsrelevante Vorfälle den [[abuse@edugain.org|eduGAIN Security Contact]]. |
* **Verantwortung: | * **Verantwortung: | ||
* **Ansprechbarkeit: | * **Ansprechbarkeit: | ||
Zeile 57: | Zeile 63: | ||
---- | ---- | ||
+ | ==== Ablaufdiagramm ==== | ||
+ | |||
+ | {{: | ||
+ | |||
+ | ---- | ||
| | ||
===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== | ===== 3. Sirtfi Compliance für IdPs und SPs in der DFN-AAI ===== | ||
Zeile 64: | Zeile 75: | ||
==== Definitionen ==== | ==== Definitionen ==== | ||
- | * **Sirtfi (sprich: „certify“): | + | * **Sirtfi (sprich: „certify“): |
+ | |||
+ | Die Konformität mit Sirtfi(2) wird in den Föderationsmetadaten über ein entsprechendes [[de: | ||
==== Teilnahmevoraussetzungen ==== | ==== Teilnahmevoraussetzungen ==== | ||
Zeile 78: | Zeile 91: | ||
* **[OS2]: A process is used to manage vulnerabilities in software operated by the | * **[OS2]: A process is used to manage vulnerabilities in software operated by the | ||
organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) | organisation.** \\ (Es gibt einen Prozess, mit dem Sicherheitslücken in der eingesetzten Software behandelt werden.) | ||
- | * **[OS3]: | + | * **[OS3]: |
- | information | + | intelligence |
* **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely | * **[OS4]: A user’s access rights can be suspended, modified or terminated in a timely | ||
manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) | manner.** \\ (Zugriffsrechte eines Nutzers können kurzfristig entzogen, gelöscht oder modifiziert werden.) | ||
Zeile 86: | Zeile 99: | ||
* **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, | * **[OS6]: A security incident response capability exists within the organisation with sufficient authority to mitigate, contain the spread of, and remediate the effects of a security incident.** \\ (Innerhalb der Organisation existieren die erforderlichen Mechanismen und Berechtigungen, | ||
* **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the | * **Indicent Response [IR]** \\ (Reaktion auf sicherheitsrelevante Vorfälle) \\ **Assertion [OS6] above posits that a security incident response capability exists within the | ||
- | organisation. This section’s assertions describe its interactions with other organisations participating in the Sirtfi | + | organisation. This section’s assertions describe its interactions with other organisations participating in Sirtfi. They are intended to augment but not supersede local procedures when an incident may extend beyond the organisation.** |
- | * **[IR1]: Provide security incident response contact information as may be requested by an R& | + | * **[IR1]: Provide security incident response contact information as may be requested by any federation to which your organization belongs.** \\ (Benennung eines Kontakts für Sicherheitsvorfälle) |
- | * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in the Sirtfi | + | * **[IR2]: Respond to requests for assistance with a security incident from other organisations participating in Sirtfi in a timely manner** \\ (Kurzfristige Reaktion auf Rückfragen anderer Föderationsteilnehmer, |
- | * **[IR3]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in the Sirtfi | + | * **[IR3]: Notify security contacts of entities participating in Sirtfi when a security incident investigation suggests that those entities are involved in the incident. Notification should also follow the security procedures of any federations to which your organisation belongs.** \\ (Benachrichtigung der Sicherheitskontakte anderer Sirtfi-Teilnehmer, |
- | * **[IR4]: Follow security incident response procedures established for the organisation.** \\ (Befolgung organisationsinterner Prozesse für Incident Response) | + | * **[IR4]: Be able and willing to collaborate in the management of a security incident with affected organisations that participate in Sirtfi** \\ (Fähigkeit und Bereitschaft, |
* **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt) | * **[IR5]: Respect user privacy as determined by the organisations policies or legal counsel.** \\ (Der Schutz der Privatsphäre von NutzerInnen wird entsprechend der Rechtslage und der organisationsinternen Richtlinien berücksichtigt) | ||
* **[IR6]: Respect and use the Traffic Light Protocol [[https:// | * **[IR6]: Respect and use the Traffic Light Protocol [[https:// | ||
* **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, | * **Traceability [TR]** \\ (Nachvollziehbarkeit) \\ **To be able to answer the basic questions "who, what, where, and when" concerning a security incident requires retaining relevant system generated information, | ||
* **[TR1]: Relevant system generated information, | * **[TR1]: Relevant system generated information, | ||
- | * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.)) | + | * **[TR2]: Information attested to in [TR1] is retained in conformance with the organisation’s security incident response policy or practices. ** \\ (Das Vorhalten dieser Informationen erfolgt konform mit den organisationsinternen Richtlinien.) |
- | * **Participant Responsibilities | + | * **User Rules and Conditions |
- | * **[PR1]: The participant has an Acceptable Use Policy (AUP).** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) | + | * **[UR1]: The participant has defined rules and conditions of use.** \\ (Die Organisation hat für die AAI-relevanten Dienste Nutzungsbedingungen.) |
- | * **[PR2]: There is a process to ensure that all users are aware of and accept the requirement to abide by the AUP, for example during a registration or renewal process.** (Die Organisation stellt sicher, dass alle BenutzerInnen die Nutzungsbedingungen kennen und annehmen.) | + | * **[UR2]: There is a process to notify |
Zeile 118: | Zeile 131: | ||
==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== | ==== 3. Meldung an den Sicherheitskontakt der DFN-AAI ==== | ||
- | * Nehmen Sie sich unsere Berichtsvorlage und tragen Sie alle bereits bekannten Informationen zusammen. | + | * Nehmen Sie sich unsere |
- | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer (s.o.). Wir unterstützen Sie beim weiteren Vorgehen. | + | * Melden Sie den Vorfall mit diesen Informationen bei unserer Security-Mailadresse oder Telefonnummer ([[de: |
* Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | * Die ggf. nötige Information weiterer Föderationsteilnehmer übernimmt der Sicherheitskontakt der DFN-AAI. Nach dem Need-to-know-Prinzip werden nur // | ||
Zeile 133: | Zeile 146: | ||
==== 6. Beantwortung und Dokumentation von Rückfragen ==== | ==== 6. Beantwortung und Dokumentation von Rückfragen ==== | ||
- | * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen innerhalb eines lokalen Werktages zu beantworten. | + | * Halten Sie sich für Rückfragen anderer betroffener Föderationsteilnehmer bereit. Sirtfi-compliant zu sein, bedeutet, Rückfragen |
* Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, | * Alle Beteiligten erhalten die Rückfragen und Antworten, um den Umfang der Rückfragen aus das nötige Minimum zu reduzieren und zu gewährleisten, | ||
* Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht. | * Dokumentieren Sie alle Rückfragen und Ihre Antworten für den Abschlussbericht. | ||
Zeile 145: | Zeile 158: | ||
==== 8. Abschlussbericht ==== | ==== 8. Abschlussbericht ==== | ||
- | * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die unsere Vorlage beinhaltet. | + | * Reichen Sie einen Abschlussbericht bei der Koordinierungsstelle ein. Er soll alle Punkte umfassen, die [[de: |
* Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle. | * Die Verteilung des Berichts an alle Betroffenen übernimmt die Koordinierungsstelle. | ||
* Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//. | * Die Weitergabe des Abschlussberichtes unterliegt - soweit nicht anders besprochen - dem Traffic Light Protocol //Amber//. | ||
Zeile 151: | Zeile 164: | ||
==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ==== 9. Aktualisierung von Dokumentation und Prozessen ==== | ||
- | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse | + | * Aktualisieren Sie Ihre organisationsinterne Dokumentation und Prozesse |