La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna 13-14 dicembre 2011 1.

Presentazioni simili


Presentazione sul tema: "R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna 13-14 dicembre 2011 1."— Transcript della presentazione:

1 R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna 13-14 dicembre 2011 1

2 1. Evita di farci prendere dal panico 2. Aiuta a contenere l’incidente in modo piu’ efficiente 3. Permette agli altri di ottenere informazioni importanti (cruciale in un ambiente fortemente interconnesso come la Grid) 4. Permette di imparare dagli errori 2

3  Service Operations Security Policy  “You shall comply with all security policies [R1] and procedures [R2] of the Infrastructure Organisation and of any Resource Centres involved in operating your Service.”  Grid Acceptable Use Policy  You shall immediately report any known or suspected security breach or misuse of the Grid or access credentials to the incident reporting locations specified by the Grid and to the relevant credential issuing authorities. 3

4 4

5 5

6  Il primo avviso deve essere inoltrato una volta accertato l’incidente e comunque entro 4 ore all’indirizzo: abuse@egi.eu  E’ stato proposto un template comune, per uniformare questo tipo di messaggi https://wiki.egi.eu/wiki/EGI_CSIRT:Incident_reporting#Initial_HEADS-UP_message FIRMARE i MAIL 6

7  Modulo on line per la segnalazione di un incidente  http://www.cert.garr.it/incident-report-form.php3 http://www.cert.garr.it/incident-report-form.php3  Procedura di incident response disponibile su:  http://www.cert.garr.it/incidenti.php3 http://www.cert.garr.it/incidenti.php3  Lista degli APM GARR:  http://www.garr.it/ilGARR/referenti/cerca_apm.php http://www.garr.it/ilGARR/referenti/cerca_apm.php 7

8 Non perdere troppo tempo per recuperare tutte queste informazioni. C’e’ sempre tempo per farlo dopo 8

9 9

10  Nel caso l’incidente richieda un arresto del/i servizio/i del sito (CE,SE,….) eseguire la procedura di downtime sul portale GOC  https://gocdb4.esc.rl.ac.uk/portal/ https://gocdb4.esc.rl.ac.uk/portal/  Motivazione: “Security operations in progress” 10

11  Nel caso si sospetti la compromissione di un certificato personale, procedere avvisando I responsabili della CA e chiedere la revoca.  https://www.eugridpm a.org/showca.php https://www.eugridpm a.org/showca.php 11

12  Nel caso si sia richiesta la revoca di un certificato personale occorre avvisare anche i responsabili della/delle VO  I contatti si trovano sul CIC Portal https://operations- portal.egi.eu/vo https://operations- portal.egi.eu/vo 12

13  Sul portale GOC e’ possibile ricercare informazioni su un nodo grid.  Utile per trovare gli amministratori di WMS, UI, CE, MYPROXY ecc.. 13

14 14

15  Pensata come versione schematica della Procedura EGI di Incident Response.  Disponibile all’URL: https://wiki.egi.eu/wiki/ File:Site_Checklist.pdf https://wiki.egi.eu/wiki/ File:Site_Checklist.pdf  Da stampare e affiggere sopra la scrivania. 15

16  Pensata per dare un riferimento rapido per la sequenza di azioni da seguire  Disponibile all’URL: https://wiki.egi.eu/w/imag es/b/b4/Flowchart.pdf https://wiki.egi.eu/w/imag es/b/b4/Flowchart.pdf  Da stampare e affiggere sopra la scrivania. 16

17  E’ molto importante che chi si occupa di sicurezza dei servizi (IGI-CSIRT e Site Security Officers) comunichi e collabori con chi si occupa di sicurezza delle reti (GARR- CERT e APM)  Vanno evidenziati i punti della IR-Flowchart in cui fare avvenire questa comunicazione.  Qualche progresso e’ stato fatto, ma occorre fare di piu’.  Per esempio sarebbe opportuno che GARR-NOC accettasse richieste di filtraggio da IGI-CSIRT (se non direttamente almeno via APM)  GARR-CERT ed EGI(IGI)-CSIRT hanno una sensibilita’ leggermente diversa a proposito dell’analisi degli incidenti post-mortem e della “lesson-learned”. 17

18 18 Incident Discovery GARR Involved Inform APM Inform Local Security Staff Countermeasures (Filter) Countermeasures (Filter) Reaction? Request to NOC For filtering Request to NOC For filtering Problem solved Remove filter Remove filter yes no

19  Circa due settimane fa si e’ verificato un incidente su un calcolatore che ospitava un servizio della Grid di produzione.  L’incidente e’ stato segnalato all’APM dal GARR-CERT  L’APM ha notificato il responsabile locale della sicurezza del sito Grid.  E’ stato aperto un incidente sul canale EGI-CSIRT  Con il permesso degli amministratori del sito sono state fornite ad EGI-CSIRT alcune evidenze dell’analisi forense  Un collega (E.R.) del Kurchatov Institute (Ru) ha notato nel pacchetto del malware alcuni riferimenti a calcolatori dell’Universita’ di Pisa.  IGI-CSIRT ha notificato la cosa ai responsabili del centro rete di UniPI che hanno avviato l’analisi dei loro sistemi (forse) compromessi 19

20  Avere una procedura di risposta agli incidenti aiuta a gestire meglio l’emergenza, contenere il problema ed evitarne lo “spread” (…. )  Ognuno (utenti,site admin …) dovrebbe essere a conoscenza almeno dell’esistenza della procedura e di dove reperirla.  Schemi/checklist aiutano molto  E’ essenziale che i vari attori (IGI-CSIRT, GARR-CERT, CCR..) si parlino  EGI (o comunque progetti internazionali di questo tipo) hanno il merito di fare collaborare persone con esperienza diversa (anche esperti molto preparati). 20


Scaricare ppt "R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna 13-14 dicembre 2011 1."

Presentazioni simili


Annunci Google