V návaznosti na zřízení bezpečnostního týmu Coolhousing CSIRT, o kterém jsme Vás informovali v září tohoto roku, vám nyní přinášíme pokyny, jak se zachovat v případě zjištění bezpečnostního incidentu. S bezpečnostními incidenty si není dobré zahrávat!
Jak správně napsat hlášení bezpečnostního incidentu
CSIRT Coolhousing preferuje hlášení bezpečnostního incidentu prostřednictvím webového formuláře nebo elektronické pošty na adresu csirt@coolhousing.net. Hlášení by mělo obsahovat kompletní popis problému. CSIRT Coolhousing se ohlášeným problémem bude zabývat jakmile to bude možné a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy „csirt@coolhousing.net“ a zpráva bude podepsaná naším PGP klíčem.
Bezpečnostní incidenty jsou zpracovávány v pracovních dnech v době od 9:00 do 15:00.
Potřebujete-li nahlásit incident mimo tuto dobu nebo z nějakého důvodu nemůžete odeslat hlášení elektronickou poštou, můžete incident nahlásit telefonicky na čísle +420 777 310 000, které je obsluhováno napřetržitě.
Základní pravidla pro vytvoření hlášení bezpečnostního incidentu
- Hlášení by mělo být jednoduchý textový e-mail, v případě potřeby s přílohou.
- Report by se měl týkat jedné IP adresy nebo jednoho adresového bloku.
- Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv …).
- časové známky a časovou zónu
- zdrojovou a cílovou IP adresu
- zdrojový a cílový port
- TCP/UDP/ICMP
- časové známky a časovou zónu,
- zdrojovou a cílovou IP adresu, na které došlo k porušení autorských práv,
- službu použitou pro zveřejnění dat chráněných autorským právem,
- typ (jméno…) dat chráněných autorským právem.
- Vhodně volený jazyk. Pokud si nejsme jisti, který jazyk cílový adresát ovládá, napíšeme dopis anglicky.
- Dopis by se měl týkat jen jediné IP adresy nebo strojů v jediném adresovém bloku; pokud tedy probíhá útok z více míst, je dobré rozeslat stížnosti zvlášť, ne v jedné zprávě.
- Formát zprávy by měl být prostý text, v případě nutnosti s přílohou.
- Zpráva by měla mít výstižný předmět obsahující např. IP adresu útočníka, typ incidentu (spam, vir, DOS, porušení autorských práv apod.) nebo jiný text umožňující snadnou identifikaci incidentu.
- Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
- Podpis – „občanský“ podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný elektronický podpis (PGP, X.509).
- Bez ohledu na to, jakou formou je hlášení bezpečnostního incidentu realizováno, platí, že hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Dále by mělo obsahovat sdělení, jakou formu reakce očekáváme, tj. zda se jedná pouze o upozornění bez potřeby znát příčinu útoku, nebo očekáváme vysvětlení.
- Jakékoliv porušení platných zákonů České Republiky, např. výhružky, urážky osobního charakteru,
- DOS a DDOS útoky,
- spamming (nevyžádaná pošta),
- zneužití přístupového jména a hesla, např. neoprávněný přístup do systému,
- phishing a pharming,
- porušení autorských práv.
- Ohrožení bezpečnosti nebo dostupnosti síťové infrastruktury Coolhousing (DoS, lámání hesel, skenování a další).
- Útoky na uživatele sítě a služeb Coolhousing (např. phishing, e-mailové podvody a další).
- Nebezpečí přesahující rámec DC Coolhousing.
- Nález nakaženého souboru antivirem.
- Příjem nevyžádané pošty, spamu „v obvyklých mezích“.
- Nemožnost přihlásit se k počítači v DC Coolhousing.
- „Podivně“ se chovající počítač v DC Coolhousing.
- Odcizení výpočetní techniky s důležitými daty (vč. USB klíčenek, přenosných disků).
Hlášení o scannování musí obsahovat část logu obsahující záznamy o útoku:
Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku daného e-mailu, který je považován za spam nebo vir.
Hlášení o spamu („unwanted commercial emails“) by mělo obsahovat kompletní nemodifikovanou hlavičku a tělo zprávy.
Hlášení porušení autorských práv musí obsahovat následující informace:
Hlášení phishing nebo pharming musí obsahovat URL a pokud možno i zdrojovou stránku webové stránky.
Hlášení musí obsahovat základní kontaktní informace – jméno reportujícího a jméno organizace.
Hlášení musí být odesláno z validní e-mail adresy.
CSIRT Coolhousing respektuje Vaše soukromí, můžete tedy některá data (např. z logů) anonymizovat, případně výslovně uvést, které informace nesmíme poskytnout dál. Zvažte ale, nakolik se tím sníží průkaznost a možnost identifikace, nebo dokonce znemožní řešení.
Doporučení
Pro hlášení odeslané elektronickou poštou doporučujeme dodržení následujících pravidel:
Hlášení bezpečnostního incidentu
Předtím, než vytvoříte a do CSIRT Coolhousing odešlete hlášení bezpečnostního incidentu, se ujistěte, zda-li se obracíte na správné místo.
Bezpečnostní incidenty hlašte elektronickou poštou na adresu
Základní bezpečnostní incidenty
Co je počítačový bezpečnostní incident?
Co není počítačový bezpečnostní incident?
Autor: Coolhousing CSIRT