Forenzní laboratoř

216 views

Published on

Prezentace z Velkého semináře o komplexu služeb e-infrastruktury CESNET

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
216
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Forenzní laboratoř

  1. 1. Forenzní laboratoř Aleš Padrta, apadrta@cesnet.cz CESNET, z. s. p. o. Služby e-infrastruktury CESNET 21. 10. 2013
  2. 2. Forenzní laboratoř ● Řešení bezpečnostní incidentů – – ● Standardní postup Vzniká mnoho otázek Analýza incidentu – poskytuje cenné informace – Náročné na čas + znalosti – Mimo možnosti některých organizací Seminář o službách, 21. 10. 2013, Praha
  3. 3. Forenzní laboratoř ● Zadání analýzy CESNETu (forenzní laboratoři) Seminář o službách, 21. 10. 2013, Praha
  4. 4. Závěrečná zpráva ● Zadání – – – ● Postup – – ● Důkazy Otázky Doplňující informace Popsána posloupnost kroků Technické detaily v přílohách Závěry – – – Shrnutí zjištěných faktů Odpovědi na otázky Manažerské shrnutí Seminář o službách, 21. 10. 2013, Praha
  5. 5. Dva příklady z nedávné minulosti ● Analýza napadeného webového serveru – – Jaká data byla stažena – Jaké změny provedl – ● Jak získal útočník přístup Zda byla vytvořena zadní vrátka Reverzní analýza malware na koncové stanici – Jak se malware dostane na stanici – Jaké změny provede v systému – Jaká data sbírá a kam je posílá? – Jaké jsou IP adresy C&C Seminář o službách, 21. 10. 2013, Praha
  6. 6. Využití výstupů ● Ochrana proti opětovnému napadení – – – ● Prokázání nevhodného chování uživatele – – ● Porušování interních směrnic Zacházení s dokumenty, závadné aplikace, … Možnost nalézt další členy botnetu v síti – – ● Nalezení míst průniku Možnost zamezení stejného scénáře Více stejných zařízení (class-attack) Zjištění typického chování Reverzní analýza malware, chování systému, soubory ... Seminář o službách, 21. 10. 2013, Praha
  7. 7. Komunikace s forenzní laboratoří ● Webové stránky – – – ● https://csirt.cesnet.cz/FLAB/ https://flab.csirt.cesnet.cz Kontakty Vše “bezkontaktně” – Komunikace ● – E-mail, telefon, VoIP, … Přenos dat ● ● ● ● Datové úložiště CESNET (https://filesender.cesnet.cz) FTP/WWW/SSH server ... Eventuelně poštou Seminář o službách, 21. 10. 2013, Praha
  8. 8. Jak postupovat? ● Kontaktovat pracovníky FLAB – ● Specifikovat zadání – ● Návody na zajištění na webu FLAB Trpělivě čekat – ● S pomocí pracovníka FLAB Předat dat – ● Domluvení vhodného postupu Typicky 1-N týdnů Převzít si závěrečnou zprávu Seminář o službách, 21. 10. 2013, Praha
  9. 9. Shrnutí ● Analýza – – ● Detailní náhled na incident Potřebná k řádnému vyřešení Náročná – ● Forenzní laboratoř CESNETu – ● Čas i peníze “outsourcing” analýzy Postup – Najít kontakt na webu – Domluvit si další postup Seminář o službách, 21. 10. 2013, Praha
  10. 10. Děkuji za pozornost. Seminář o službách, 21. 10. 2013, Praha

×