Logo Csirt

V návaznosti na zřízení bezpečnostního týmu Coolhousing CSIRT, o kterém jsme Vás informovali v září tohoto roku, vám nyní přinášíme pokyny, jak se zachovat v případě zjištění bezpečnostního incidentu. S bezpečnostními incidenty si není dobré zahrávat!


Jak správně napsat hlášení bezpečnostního incidentu

CSIRT Coolhousing preferuje hlášení bezpečnostního incidentu prostřednictvím webového formuláře nebo elektronické pošty na adresu <.>. Hlášení by mělo obsahovat kompletní popis problému. CSIRT Coolhousing se ohlášeným problémem bude zabývat jakmile to bude možné a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy <.> a zpráva bude podepsaná naším PGP klíčem.

Bezpečnostní incidenty jsou zpracovávány v pracovních dnech v době od 9:00 do 15:00.

Potřebujete-li nahlásit incident mimo tuto dobu nebo z nějakého důvodu nemůžete odeslat hlášení elektronickou poštou, můžete incident nahlásit telefonicky na čísle +420 777 310 000, které je obsluhováno napřetržitě.


Základní pravidla pro vytvoření hlášení bezpečnostního incidentu

  • Hlášení by mělo být jednoduchý textový e-mail, v případě potřeby s přílohou.
  • Report by se měl týkat jedné IP adresy nebo jednoho adresového bloku.
  • Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv ...).

  • Hlášení o scannování musí obsahovat část logu obsahující záznamy o útoku:
    • časové známky a časovou zónu
    • zdrojovou a cílovou IP adresu
    • zdrojový a cílový port
    • TCP/UDP/ICMP
  • Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku daného e-mailu, který je považován za spam nebo vir.
  • Hlášení o spamu ("unwanted commercial emails") by mělo obsahovat kompletní nemodifikovanou hlavičku a tělo zprávy.
  • Hlášení porušení autorských práv musí obsahovat následující informace:
    • časové známky a časovou zónu,
    • zdrojovou a cílovou IP adresu, na které došlo k porušení autorských práv,
    • službu použitou pro zveřejnění dat chráněných autorským právem,
    • typ (jméno...) dat chráněných autorským právem.
  • Hlášení phishing nebo pharming musí obsahovat URL a pokud možno i zdrojovou stránku webové stránky.
  • Hlášení musí obsahovat základní kontaktní informace - jméno reportujícího a jméno organizace.
  • Hlášení musí být odesláno z validní e-mail adresy.

CSIRT Coolhousing respektuje Vaše soukromí, můžete tedy některá data (např. z logů) anonymizovat, případně výslovně uvést, které informace nesmíme poskytnout dál. Zvažte ale, nakolik se tím sníží průkaznost a možnost identifikace, nebo dokonce znemožní řešení.


Doporučení

Pro hlášení odeslané elektronickou poštou doporučujeme dodržení následujících pravidel:

  • Vhodně volený jazyk. Pokud si nejsme jisti, který jazyk cílový adresát ovládá, napíšeme dopis anglicky.
  • Dopis by se měl týkat jen jediné IP adresy nebo strojů v jediném adresovém bloku; pokud tedy probíhá útok z více míst, je dobré rozeslat stížnosti zvlášť, ne v jedné zprávě.
  • Formát zprávy by měl být prostý text, v případě nutnosti s přílohou.
  • Zpráva by měla mít výstižný předmět obsahující např. IP adresu útočníka, typ incidentu (spam, vir, DOS, porušení autorských práv apod.) nebo jiný text umožňující snadnou identifikaci incidentu.
  • Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
  • Podpis - "občanský" podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný elektronický podpis (PGP, X.509).
  • Bez ohledu na to, jakou formou je hlášení bezpečnostního incidentu realizováno, platí, že hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Dále by mělo obsahovat sdělení, jakou formu reakce očekáváme, tj. zda se jedná pouze o upozornění bez potřeby znát příčinu útoku, nebo očekáváme vysvětlení.

Hlášení bezpečnostního incidentu

Předtím, než vytvoříte a do CSIRT Coolhousing odešlete hlášení bezpečnostního incidentu, se ujistěte, zda-li se obracíte na správné místo.

Bezpečnostní incidenty hlašte elektronickou poštou na adresu <.>. Hlášení by mělo obsahovat kompletní popis problému.


Základní bezpečnostní incidenty

  • Jakékoliv porušení platných zákonů České Republiky, např. výhružky, urážky osobního charakteru,
  • DOS a DDOS útoky,
  • spamming (nevyžádaná pošta),
  • zneužití přístupového jména a hesla, např. neoprávněný přístup do systému,
  • phishing a pharming,
  • porušení autorských práv.

Co je počítačový bezpečnostní incident?

  • Ohrožení bezpečnosti nebo dostupnosti síťové infrastruktury Coolhousing (DoS, lámání hesel, skenování a další).
  • Útoky na uživatele sítě a služeb Coolhousing (např. phishing, e-mailové podvody a další).
  • Nebezpečí přesahující rámec DC Coolhousing.

Co není počítačový bezpečnostní incident?

  • Nález nakaženého souboru antivirem.
  • Příjem nevyžádané pošty, spamu "v obvyklých mezích".
  • Nemožnost přihlásit se k počítači v DC Coolhousing.
  • "Podivně" se chovající počítač v DC Coolhousing.
  • Odcizení výpočetní techniky s důležitými daty (vč. USB klíčenek, přenosných disků).

Autor: Coolhousing CSIRT


Zákaznická
podpora

Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Více...
Souhlasím