integriertes management von sicherheitsvorfällen...open source sim (ossim) 15./16.02.2011 18. dfn...
TRANSCRIPT
![Page 1: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/1.jpg)
Leibniz-Rechenzentrum
Integriertes Management
von Sicherheitsvorfällen
Stefan Metzger, Dr. Wolfgang Hommel, Dr. Helmut Reiser
18. DFN Workshop „Sicherheit in vernetzten Systemen“
Hamburg, 15./16. Februar 2011
![Page 2: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/2.jpg)
Was verstehen wir unter einem
Sicherheitsvorfall?
ISO27001-Definition: Sicherheitsvorfall
Ereignis, das sich negativ auf die Sicherheit, insbesondere
auf die Vertraulichkeit, Integrität und Verfügbarkeit von
Informationen und Systemen, auswirkt.
LRZ Security-Monitoring:
Extern Intern (Angriffe von Extern, DoS, SSH-Scans)
Intern Extern (Kompromittierte interne Systeme)
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 2
![Page 3: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/3.jpg)
Angriffsziel „Hochschule“?
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 3
Angriffsziel:
Personenbezogene Daten
![Page 4: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/4.jpg)
Angriffsziel „Hochschule“?
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 4
Angriffsziel:
Personenbezogene Daten Angriffsziel:
Forschungsdaten
![Page 5: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/5.jpg)
Das Leibniz-Rechenzentrum (LRZ)
RZ für Münchner Hochschulen, Betreiber MWN
„Landesrechenzentrum“ und nationales
Höchstleistungsrechenzentrum
Foto: Ernst A. Graf
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 5
![Page 6: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/6.jpg)
Münchner Wissenschaftsnetz (MWN) Eckdaten
120.000 Nutzer
ca. 80.000 Endgeräte
Bayernweite Ausdehnung
Dezentrale Administration
und Verantwortlichkeit
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 6
![Page 7: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/7.jpg)
Klassische Schutzmaßnahmen
Installation von Security-
Patches nicht forcierbar!
(Infektionsrate: 1 - 5%)
Firewalls
Intrusion Detection /
Prevention Systeme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 7
![Page 8: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/8.jpg)
Klassische Schutzmaßnahmen
Installation von Security-
Patches nicht forcierbar!
(Infektionsrate: 1 - 5%)
Firewalls
Intrusion Detection /
Prevention Systeme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 8
![Page 9: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/9.jpg)
Klassische Schutzmaßnahmen
Installation von Security-
Patches nicht forcierbar!
(Infektionsrate: 1 - 5%)
Firewalls
Intrusion Detection /
Prevention Systeme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 9
Präventive Schutzmaßnahmen greifen
im MWN zu kurz und können nicht
erzwungen werden!
![Page 10: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/10.jpg)
Integrierte, reaktive Maßnahmen nötig!
15./16.02.2011 10 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Zielsetzungen:
Strukturierte Bearbeitung!
Klare Regelung der Verantwortlichkeiten!
Automatisierte Reaktions-Möglichkeiten!
![Page 11: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/11.jpg)
Integrierte, reaktive Maßnahmen nötig!
15./16.02.2011 11 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Security Incident Response Prozess (SIR-Prozess)
![Page 12: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/12.jpg)
Integrierte, reaktive Maßnahmen nötig!
15./16.02.2011 12 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Security Incident Response Prozess (SIR-Prozess)
Manuelle
Meldung
![Page 13: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/13.jpg)
Integrierte, reaktive Maßnahmen nötig!
15./16.02.2011 13 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Security Incident Response Prozess (SIR-Prozess)
Manuelle
Meldung
Security Information &
Event Management System
Security-
Monitoring
![Page 14: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/14.jpg)
Integrierte, reaktive Maßnahmen nötig!
15./16.02.2011 14 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Security Incident Response Prozess (SIR-Prozess)
Manuelle
Meldung
Security Information &
Event Management System
Security-
Monitoring
DFN-CERT
AW-Service
![Page 15: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/15.jpg)
SNORT IDS
NfSEN (Netflow-Analyse)
Accounting
(SPAM-Sender, DoS)
NAT-o-MAT / Secomat
Tool-gestütztes Security Monitoring
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 15
![Page 16: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/16.jpg)
Security Information & Event
Management (SIEM)
Open Source SIM (OSSIM)
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 16
Dashboards
Reporting-
Funktionen
Event-Korrelation
Automatische
Reaktion
![Page 17: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/17.jpg)
Security Information & Event
Management (SIEM)
Open Source SIM
(OSSIM)
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 17
Integrierte Sortier- und Filter-Funktionen
Unique Events
Source- / Destination (IP oder Port)
Zeitfenster
![Page 18: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/18.jpg)
DFN-CERT Services
Automatische Warnmeldungen
Sensoren beim DFN-CERT
DFN-Einrichtungen werden täglich über
auffällige IP-Adressen informiert
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 18
Meldungen:
IP Meldungstyp Zuletzt gesehen
------------------------------------------------------------------------------------------------
129.xxx.xxx.xxx Bot 2011-02-12 14:06:03 GMT+0100
![Page 19: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/19.jpg)
DFN-CERT Services
Automatische Warnmeldungen
Sensoren beim DFN-CERT
DFN-Einrichtungen werden täglich über
auffällige IP-Adressen informiert
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 19
Details zu den Meldungen pro IP:
------------------------------------------------------------------------
System: 129.xxx.xxx.xxx
Meldungstyp: Bot
Zeitstempel: 2011-02-12 14:06:03 GMT+0100 (Sommerzeit) >
Protokoll Quellport Zielport Malwaretyp Zeitstempel(GMT+0000)
----------------------------------------------------------------------------------------
unbekannt 6667 unbekannt 2011-02-12 13:06:03
unbekannt 6667 unbekannt 2011-02-12 13:06:03
![Page 20: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/20.jpg)
Nach Bekanntwerden eines Vorfalls …
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 20
![Page 21: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/21.jpg)
Security Incident Response Prozess Incident Aufnahme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 21
Was ist genau passiert?
Welches System ist
betroffen?
Wer ist für System
zuständig?
Wann ist es passiert?
Incident Aufnahme
![Page 22: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/22.jpg)
Welche Art von Angriff?
Priorisierung des Vorfalls
Standort des Angreifers?
Standort des Opfer-
Systems?
Wieviele Systeme sind
betroffen?
Welche Dienste sind
betroffen?
Security Incident Response Prozess Klassifikation + Priorisierung
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 22
Incident Aufnahme
Klassifikation +
Priorisierung
![Page 23: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/23.jpg)
Welche Art von Angriff?
Priorisierung des Vorfalls
Standort des Angreifers?
Standort des Opfer-
Systems?
Wieviele Systeme sind
betroffen?
Welche Dienste sind
betroffen?
Security Incident Response Prozess Klassifikation + Priorisierung
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 23
Auswirkung/
Kriterium
Niedrig
Mittel
Hoch
Zielsystem Extern (1) MWN, Grid (2) LRZ-intern (3)
Dienste, Daten nicht betroffen
(1) MWN, Grid (2)
Wichtige Dienste
(3)
# betroffener
Systeme 1 (1) 2-3 (2) > 3 (3)
Quellsystem Extern (1) MWN, Grid (2) LRZ-intern (3)
![Page 24: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/24.jpg)
Security Incident Response Prozess Incident-Bearbeitung
15./16.02.2011 24 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Standard-Security-Incident?
definierte Vorgehensweise
Erstmaßnahmen
Analyse & Diagnose
betroffener Systeme
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
![Page 25: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/25.jpg)
Security Incident Response Prozess Lösung + Abschluß des Incidents
15./16.02.2011 25 18. DFN Workshop "Sicherheit in vernetzten Systemen"
Schnellstmögliche Lösung
des Incidents
Wiederherstellung Regel-
betrieb
Weitere Auffälligkeiten?
Abschluß
(Post Incident Review)
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
Incident-Lösung
Incident-Abschluß
![Page 26: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/26.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 26
SNORT IDS detektiert Event (Bot C&C Server Traffic)
Weiterleitung an SIEM
Korrelation ( mind. 5 Events / 8 Stunden) Alarm!
![Page 27: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/27.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 27
Nach dem Alarm
Security-Incident Ticket
erzeugen
System-Administratoren +
LRZ-CSIRT informieren
Incident Aufnahme
![Page 28: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/28.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 28
Event: snort: "ET DROP KNOWN BOT C&C Server Traffic TCP"
IP-Adresse: 129.xxx.xxx.xxx
FQDN: <HOSTNAME>
Standort: <STANDORT (Gebäude, Adresse)>
Switchport:
<SWITCH-PORT DETECTION>
Source-Port: xxxxx
Destination-IP: 194.xxx.xxx.xxx
Destination-Port: 6667
Timestamp: Sat Feb 12 13:05:14 2011
![Page 29: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/29.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 29
Klassifikation:
Botnetz C&C-Server
Intern Extern!
Priorisierung:
Incident Aufnahme
Klassifikation +
Priorisierung
![Page 30: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/30.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 30
Klassifikation:
Botnetz C&C-Server
Intern Extern
Priorisierung:
Zielsystem Extern (1) Grid, MWN Intern
Dienste Nein (1) Grid, MWN Ja
# Systeme 1 (1) 2,3 mind. 3
Quellsystem Extern Grid, MWN Intern (3)
Incident Aufnahme
Klassifikation +
Priorisierung
![Page 31: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/31.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 31
DFN AW-Service Meldung:
Bestätigung des internen
Monitorings
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
Meldungen:
IP Meldungstyp Zuletzt gesehen
------------------------------------------------------------------------------------------------
129.xxx.xxx.xxx Bot 2011-02-12 14:06:03 GMT+0100
![Page 32: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/32.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 32
Erstmaßnahme
Trennen der Netzverbindung
Analyse & Diagnose:
Auswertung SIEM-Events
Analyse der Log-Files
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
![Page 33: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/33.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 33
Auswertung SIEM-Events
(10.02.2011)
„External SSH-Attacker“ auf
Destination 129.xxx.xxx.xxx
Analyse der Log-Files
SSH-Login von externer IP-Adresse erfolgreich
Kennung „test“ mit Passwort „test123!“
Root-Exploit
Installation einer Bot-Software
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
![Page 34: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/34.jpg)
Security Incident Response am LRZ Beispiel
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 34
Lösung:
Neuinstallation des
Systems!
Abschluß (PIR):
Bei dieser Art von Vorfall
zukünftig:
„Automatisches Blocking“
Incident Aufnahme
Klassifikation +
Priorisierung
Incident-Bearbeitung
Incident-Lösung
Incident-Abschluß
![Page 35: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/35.jpg)
Praktische Erfahrungen
2010:
Insgesamt 935 Vorfälle: 99,6 % automatisch!
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 35
![Page 36: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/36.jpg)
Praktische Erfahrungen
2010: Kompromittierte Interne Systeme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 36
![Page 37: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/37.jpg)
Praktische Erfahrungen
2010: Kompromittierte Interne Systeme
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 37
![Page 38: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/38.jpg)
Praktische Erfahrungen
# Anzahl IP-Adressen in DFN-CERT AW-Meldungen
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 38
![Page 39: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/39.jpg)
Praktische Erfahrungen
Reaktionszeit
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 39
![Page 40: Integriertes Management von Sicherheitsvorfällen...Open Source SIM (OSSIM) 15./16.02.2011 18. DFN Workshop "Sicherheit in vernetzten Systemen" 17 Integrierte Sortier- und Filter-Funktionen](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed83f6b0fa3e705ec0e1dc2/html5/thumbnails/40.jpg)
Fragen?
Security Incident Response Prozess (SIR-Prozess)
Manuelle
Meldung
Security Information & Event Management System
Security-
Monitoring
DFN-
CERT
AW-
Service
18. DFN Workshop "Sicherheit in vernetzten Systemen" 15./16.02.2011 40