R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna dicembre
1. Evita di farci prendere dal panico 2. Aiuta a contenere l’incidente in modo piu’ efficiente 3. Permette agli altri di ottenere informazioni importanti (cruciale in un ambiente fortemente interconnesso come la Grid) 4. Permette di imparare dagli errori 2
Service Operations Security Policy “You shall comply with all security policies [R1] and procedures [R2] of the Infrastructure Organisation and of any Resource Centres involved in operating your Service.” Grid Acceptable Use Policy You shall immediately report any known or suspected security breach or misuse of the Grid or access credentials to the incident reporting locations specified by the Grid and to the relevant credential issuing authorities. 3
4
5
Il primo avviso deve essere inoltrato una volta accertato l’incidente e comunque entro 4 ore all’indirizzo: E’ stato proposto un template comune, per uniformare questo tipo di messaggi FIRMARE i MAIL 6
Modulo on line per la segnalazione di un incidente Procedura di incident response disponibile su: Lista degli APM GARR: 7
Non perdere troppo tempo per recuperare tutte queste informazioni. C’e’ sempre tempo per farlo dopo 8
9
Nel caso l’incidente richieda un arresto del/i servizio/i del sito (CE,SE,….) eseguire la procedura di downtime sul portale GOC Motivazione: “Security operations in progress” 10
Nel caso si sospetti la compromissione di un certificato personale, procedere avvisando I responsabili della CA e chiedere la revoca. a.org/showca.php a.org/showca.php 11
Nel caso si sia richiesta la revoca di un certificato personale occorre avvisare anche i responsabili della/delle VO I contatti si trovano sul CIC Portal portal.egi.eu/vo portal.egi.eu/vo 12
Sul portale GOC e’ possibile ricercare informazioni su un nodo grid. Utile per trovare gli amministratori di WMS, UI, CE, MYPROXY ecc.. 13
14
Pensata come versione schematica della Procedura EGI di Incident Response. Disponibile all’URL: File:Site_Checklist.pdf File:Site_Checklist.pdf Da stampare e affiggere sopra la scrivania. 15
Pensata per dare un riferimento rapido per la sequenza di azioni da seguire Disponibile all’URL: es/b/b4/Flowchart.pdf es/b/b4/Flowchart.pdf Da stampare e affiggere sopra la scrivania. 16
E’ molto importante che chi si occupa di sicurezza dei servizi (IGI-CSIRT e Site Security Officers) comunichi e collabori con chi si occupa di sicurezza delle reti (GARR- CERT e APM) Vanno evidenziati i punti della IR-Flowchart in cui fare avvenire questa comunicazione. Qualche progresso e’ stato fatto, ma occorre fare di piu’. Per esempio sarebbe opportuno che GARR-NOC accettasse richieste di filtraggio da IGI-CSIRT (se non direttamente almeno via APM) GARR-CERT ed EGI(IGI)-CSIRT hanno una sensibilita’ leggermente diversa a proposito dell’analisi degli incidenti post-mortem e della “lesson-learned”. 17
18 Incident Discovery GARR Involved Inform APM Inform Local Security Staff Countermeasures (Filter) Countermeasures (Filter) Reaction? Request to NOC For filtering Request to NOC For filtering Problem solved Remove filter Remove filter yes no
Circa due settimane fa si e’ verificato un incidente su un calcolatore che ospitava un servizio della Grid di produzione. L’incidente e’ stato segnalato all’APM dal GARR-CERT L’APM ha notificato il responsabile locale della sicurezza del sito Grid. E’ stato aperto un incidente sul canale EGI-CSIRT Con il permesso degli amministratori del sito sono state fornite ad EGI-CSIRT alcune evidenze dell’analisi forense Un collega (E.R.) del Kurchatov Institute (Ru) ha notato nel pacchetto del malware alcuni riferimenti a calcolatori dell’Universita’ di Pisa. IGI-CSIRT ha notificato la cosa ai responsabili del centro rete di UniPI che hanno avviato l’analisi dei loro sistemi (forse) compromessi 19
Avere una procedura di risposta agli incidenti aiuta a gestire meglio l’emergenza, contenere il problema ed evitarne lo “spread” (…. ) Ognuno (utenti,site admin …) dovrebbe essere a conoscenza almeno dell’esistenza della procedura e di dove reperirla. Schemi/checklist aiutano molto E’ essenziale che i vari attori (IGI-CSIRT, GARR-CERT, CCR..) si parlino EGI (o comunque progetti internazionali di questo tipo) hanno il merito di fare collaborare persone con esperienza diversa (anche esperti molto preparati). 20