De IngridPtWiki

Tabela de conteúdo 1 Resposta a Incidentes de Segurança na INGRID 1.1 Objectivo 1.2 Introdução 1.3 O que fazer quando acontece um incidente de segurança? 1.4 Procedimentos básicos 1.4.1 A máquina foi comprometida ou existe suspeita que a mesma está a ser usada para fins malignos. 1.4.2 Suspeita ou uso indevido de Certificado 1.4.3 Tentativas de intrusão 1.5 Colaborações

Resposta a Incidentes de Segurança na INGRID

Objectivo

Ajudar nos procedimentos a seguir em casos de incidentes de segurança, sejam eles de intrusão ou más práticas de utilização.

Introdução

A Iniciativa Nacional GRID, tendo como objectivo disponibilizar o acesso a recursos de computação distribuídos, faz com que a questão da segurança tenha que ser tomada em consideração, não só no que diz respeito ao acesso aos próprios recursos de computação assim como da edoneidade das entidades que deles vão usufruir.

Apesar das boas práticas de segurança serem permanentemente tidas em consideração

• na instalação, operação e gestão de todos os recursos computacionais envolvidos;
• na autenticação das entidades que os vão usar;

não deixa de ser espectável que possam existir alguns incidentes.

O que fazer quando acontece um incidente de segurança?

O primeiro passo deve ser sempre seguir os procedimentos de resposta a incidentes de segurança, seja da instituição onde os meios de computação estão inseridos, seja do fornecedor IP da instituição. No caso da RCTS o contacto deve ser o CERT.PT

• CERT PT: http://www.cert.pt; report@cert.pt

Procedimentos básicos

A máquina foi comprometida ou existe suspeita que a mesma está a ser usada para fins malignos.

1. Não desligar a máquina. Ao desencadear esta acção pode perder informação crítica necessária à análise do problema.
2. Caso o incidente de segurança ocorra numa máquina que tenha acesso à Internet, a mesma deve ser isolada da rede.
3. Usar ferramentas de análise forense para realizar uma análise do problema, e tentar perceber a vulnerabilidade ou os meios usados.
4. Caso o incidente envolta meios de computação ou serviços da INGRID, o incidente deve ser reportado à coordenação de incidentes de segurança da INGRID através do endereço de correio electrónico ingrid.cert@lip.pt

Suspeita ou uso indevido de Certificado

1. Reportar à respectiva CA o incidente. A informação de contacto das várias CA's pode ser obtida em http://www.eugridpma.org/members/worldmap/
2. Caso seja um certificado pertencente à CA Portuguesa (LIPCA), o endereço ca@lip.pt deve ser usado para reportar o incidente.
3. Reportar à coordenação de incidentes de segurança da INGRID através do endereço de correio electrónico ingrid.cert@lip.pt

Tentativas de intrusão

1. Usar os canais já estabelecidos para reportar incidentes de segurança na instituição ou no fornecedor IP da instituição.
2. Caso as tentativas sejam originárias de máquinas Grid, a comunicação à coordenação de incidentes de segurança da INGRID pode abrir canais mais directos para que se possa resolver o incidente de forma mais eficiente

Colaborações

Portugal e Espanha partilham canais privilegiados de comunicação (à luz da iniciativa IBERGRID) que podem ser usados em casos de incidentes de segurança, não só em Portugal como em Espanha. A informação acerca dos canais e procedimentos de segurança da Iniciativa Nacional GRID Espanhola podem ser consultados em

• http://www.rediris.es/cert/tareas/servicios/iris-cert/grid/ngiir.html