zgłaszanie i obsługa incydentu

Tu zgłosisz incydent i dowiesz się jak zgłaszać incydenty oraz znajdziesz informacje odnośnie sposobu reagowania TP CERT na incydenty.

Informacje zgłaszane do TP CERT
Do TP CERT należy zgłaszać informacje o incydentach bezpieczeństwa teleinformatycznego (ICT), w których bezpośrednio lub pośrednio (np. źródło lub cel ataku) zaangażowane są komputery przyłączone do sieci TP (przestrzeń adresowa IP przydzielona TP: AS5617, AS29535, AS33900 - RIPE NCC) oraz inne przypadki dotyczące zagrożeń bezpieczeństwa systemów i sieci teleinformatycznych podłączonych do sieci TP (np. informacje dotyczące podatności bezpieczeństwa systemów sieci TP).

Incydent bezpieczeństwa teleinformatycznego to wszelkie zaistniałe zdarzenia zagrażające bezpieczeństwu sieciowemu, tj każde działanie, którego efektem jest wystąpienie zagrożenia (naruszenie bezpieczeństwa), w szczególności zdarzenia dotyczące:

włamań lub jego prób do systemów teleinformatycznych
ograniczania dostępności zasobów sieciowych (np. ataki typu DoS)
rozpowszechniania nielegalnych treści (np. spam)
działań z użyciem złośliwych kodów (np. rozsyłanie wirusów)
inne istotne przypadki naruszenia bezpieczeństwa teleinformatycznego

Jak zgłosić
Raport zgłoszenia
Korzyści zgłaszania
analiza i reakcja
Masz pytanie

Zgłoszenie incydentu do TP CERT
Aby zgłosić incydent do TP CERT prześlij zgłoszenie incydentu e-mailem na adres: cert@telekomunikacja.pl lub faksem pod nr +48 22 824 14 52.

Przyjmowanie zgłoszeń incydentów przez TP CERT
Każde przychodzące zgłoszenie incydentu (i innych wniosków zgłaszanych do zespołu) do TP CERT jest rejestrowane i potwierdzone za pośrednictwem poczty elektronicznej (jeśli zostanie podany poprawny adres e-mail). Potwierdzenie otrzymania zgłoszenia zawiera unikalny numer (numer raportu incydentu), który powinien być wykorzystywany w dalszej wymianie informacji dotyczącej danego zgłoszenia.

Zobacz także:
co zrobić, gdy nastąpiło włamanie do komputera
co zrobić, gdy komputer jest zaifekowany złośliwym oprogramowaniem
co zrobić, gdy komputer jest wykorzystywany do rozsyłania spamu
co zrobić, gdy komputer jest wykorzystywany do przeprowadzania oszustw sieciowych
o zgłaszaniu i obsłudze incydentów

Informacje, które powinien zawierać raport zgłoszenia incydentu
Raport zgłaszanego incydentu do TP CERT powinien zawierać wszelkie informacje, które mogą być przydatne w procesie obsługi incydentu. Zakres tych informacji może być różny, w zależności przede wszystkim od typu incydentu. Aby zgłoszenie incydentu mogło zostać rozpatrzone bardzo ważne jest dołączenie zarejestrowanych dowodów zdarzenia, które mogą wskazać rodzaj podejrzanej aktywności, źródło incydentu, czas wystąpienia zdarzenia (z uwzględnieniem strefy czasowej) itp. Zwykle takie informacje znajdują się w zarejestrowanych logach lub innych ścieżkach przesyłanych informacji (np. pełnym nagłówku e-mail).

Opis raportu zgłoszenia incydentu

informacje ogólne

dane dotyczące zgłoszenia (np. data i godzina zgłoszenia, numer zgłoszenia incydentu, gdy został już nadany)
dane dotyczące poszkodowanego w incydencie/właściciela systemu

szczegółowe informacje opisujące incydent

termin(y) zdarzenia - data i godzina z podaniem dokładnego czasu (z rozdzielczością sekundową) wystąpienia zdarzenia z uwzględnieniem strefy czasowej (UTC/GMT), według której zanotowany jest czas
źródło(a) ataku - adres IP/nazwa hosta komputera, z którego nastąpił atak
cel(e) ataku - adres IP/nazwa hosta miejsca ataku, rodzaj atakowanej usługi (nr portu docelowego), atakowanego systemu itp.
typ zdarzenia (np. spam, skanowanie portów)
opis zdarzenia (spostrzeżenia) - opis wykrycia oraz przebiegu incydentu, wywołane konsekwencje (rozmiar wyrządzonych szkód), wykorzystane błędy systemu, wykorzystane metody ataku, zasięg ataku (liczba zaatakowanych systemów), inne źródła (hosty/sieci), termin rozpoczęcia, zakończenia i czas trwania ataku (np. czy zdarzenie dalej ma miejsce) itp.
dowody zdarzenia (sekwencje logów, nagłówki pocztowe i inne) - jako załącznik (najlepiej w formacie tekstowym)

dodatkowe informacje powiązane z incydentem

opis działań podjętych do tej pory, np. informacja o tym, czy incydent został (lub będzie) jeszcze gdzieś zgłoszony (np. organów ścigania, innych zespołów reagujących na incydenty albo innych stron zaangażowanych w incydent), zabezpieczenie systemu, logów itp.
w czym TP CERT mógłby być najbardziej pomocny przy obsłudze incydentu
inne informacje powiązane z incydentem

informacje kontaktowe

imię i nazwisko osoby/nazwa organizacji zgłaszającej
adres e-mail (będzie używany do wysłania potwierdzenia przyjęcia zgłoszenia incydentu i dalszej korespondencji)
numer telefonu/faksu

Korzyści zgłaszania do TP CERT incydentów i innych informacji o zagrożeniach sieciowych
Każda zgłoszona informacja o zagrożeniach bezpieczeństwa systemów (komputerów) podłączonych do sieci TP przyczynia się do poprawy ich bezpieczeństwa, w tym również bezpieczeństwa Twojego środowiska informatycznego i samego Ciebie. Dzięki m. in. usunięciu podatności, likwidacji źródła incydentu zwiększa się także bezpieczeństwo innych użytkowników internetu. W miarę dostępności zasobów (oraz jeśli jest to uzasadnione i możliwe do zrealizowania) służymy wsparciem i pomocą m. in.:

w ułatwieniu odnalezienia źródła incydentu
w ułatwieniu kontaktu do innych miejsc zaangażowanych w incydent
w dostarczaniu wskazówek odnośnie poprawy bezpieczeństwa systemu komputerowego (w tym odnośnie eliminacji występującego zagrożenia i ograniczenia jego skutków)

W szczególności, gdy sprawcą incydentu jest Abonent sieci TP, podejmujemy działania ostrzegawcze i dyscyplinarne. Natomiast w przypadku, gdy sprawcą incydentu jest użytkownik innego operatora, który nie interweniuje na Twoje zgłoszenie lub nie udało się ustalić właściwego operatora odpowiedzialnego za dany adres IP, wtedy postaramy się wskazać Ci właściwą instancję, do której należy zgłosić dany przypadek lub, gdy jest to możliwe i uzasadnione interweniujemy w Twoim imieniu albo podejmujemy działania ochronne po stronie naszej sieci. Więcej informacji: patrz analiza i reakcja na incydenty.

Analiza i reakcja na zgłoszenia incydentów i innych wniosków
Po przyjęciu zgłoszenia (zarejestrowaniu, czyli nadaniu numeru) pierwszym etapem obsługi zgłoszeń incydentów i innych wniosków napływających do TP CERT jest ich sortowanie (np. powiązanie zdarzeń z różnych zgłoszeń), kategoryzacja i priorytetyzacja. W tym miejscu następuje również wstępne sprawdzenie zgłoszonego przypadku, czyli czy zgłoszony przypadek może być rozpatrywany jako incydent w odniesieniu do polityki CSIRT i czy dotyczy obszaru obsługiwanego przez TP CERT. Więcej informacji: klasyfikacja incydentów bezpieczeństwa teleinformatycznego (ICT) stosowana przez TP CERT.

Etapy procesu obsługi incydentu

analiza incydentu
Analiza incydentu polega na badaniu wszystkich dostępnych informacji (przede wszystkim zgłoszonych dowodów zdarzeń). Celem analizy jest rozpoznanie incydentu, czyli sprawdzenie czy np. zdarzenie faktycznie miało miejsce oraz zidentyfikowanie m. in. zasięgu, rozmiaru, przyczyny, szkodliwości (jeśli jest to możliwe) i ustaleniu na tej podstawie właściwych i zarazem możliwych do zrealizowania przez TP CERT strategii reakcji. Na tym etapie obsługi incydentu następuje również ustalenie źródła ataku, czyli lokalizacja i identyfikacja intruza (jeśli jest to możliwe i konieczne, np. do podjęcia stosownej reakcji w stosunku do abonenta) oraz w specjalnych przypadkach faza ta może obejmować zbieranie dowodów do ewentualnych działań dyscyplinarnych i innych.

reakcja na incydent
Faza rozwiązania incydentu jest dokonywana w bardzo ograniczonym zakresie, dlatego, że kwestia ta leży w obszarze odpowiedzialności lokalnych administratorów bądź zespołów bezpieczeństwa systemów lub sieci teleinformatycznych, w których wystąpił incydent. Wsparcie udzielane jest jedynie w takim zakresie na ile pozwalają w danej chwili dostępne zasoby. W praktyce ogranicza się do szczególnych przypadków i obejmuje udzielanie wskazówek-porad w zakresie zabezpieczeń systemów, usunięcia podatności itp. Informacje te dostarczane są głównie poprzez stronę internetową ( www.tp.pl/cert). Więcej informacji: korzyści zgłaszania, otrzymywanie informacji o zagrożeniach, ograniczenia dostępu.

koordynacja reakcji na incydent
Na tym etapie następuje kompleksowa koordynacja obsługi incydentów ze szczególnym naciskiem na wymianę informacji pomiędzy różnymi osobami/grupami zaangażowanymi w incydent. Faza ta obejmuje m. in.:

ułatwienie kontaktu z innymi stronami, które mogą brać udział w incydencie
ułatwienie kontaktu z właściwym zespołem bezpieczeństwa i jeśli to konieczne z właściwymi organami ścigania
sporządzenie raportu do innych grup CSIRT, w stosownym przypadku
ogłoszenie komunikatów do użytkowników (społeczności obsługiwanej), w stosownym przypadku

Ponadto TP CERT zbiera i sporządza statystyki odnośnie incydentów dotyczących obszaru obsługiwanego przez TP CERT oraz ogłasza je jeśli jest to konieczne, np. w celu zapobiegania incydentom (ponownym znanym atakom).

Aby właściwie skorzystać z usług reagowania na incydenty oferowanych przez TP CERT należy zapoznać się z serwisem informacyjnym zespołu ( www.tp.pl/cert), na którym możesz m. in. zgłosić informacje o zagrożeniu (incydent) czy otrzymać informacje o zagrożeniu (np. o trwającym ataku, którego źródłem jest Twój komputer) oraz zapoznać się ze wskazówkami na temat, jak uniknąć występowania zagrożeń w swoim środowisku komputerowym oraz jak na nie reagować, gdy występują.

Chcesz wiedzieć więcej?
CERT/CC A Common Language for Computer Security Incidents [PDF]
The European CSIRT Network - eCSIRT.net
otrzymywanie informacji o zagrożeniach
ograniczenia dostępu
klasyfikacja incydentów stosowana przez TP CERT

Przeczytaj odpowiedzi na najczęściej zadawane pytania
Komu i kto powinien zgłaszać incydenty?
Kiedy powinno się zgłosić incydent?
W jaki sposób TP CERT wykorzystuje przekazane informacje?
Jak szybko zostanie obsłużona i czy będę informowany o obsłudze zgłoszonej sprawy do TP CERT?
więcej

wersja do druku