1. No category

Incidenthantering – A till Ö
2013-02-19
Fokusområde Incidenthantering och IT-forensik
Agenda - Två processer
Skapa
förmåga
19 februari
2013
Hantera
incidenter
Varför?
”It’s about how hard you can get hit and
keep moving forward”
Rocky Balboa
25 februari
2013
Source: http://www.wallpaperup.com
Varför?
25 februari
2013
”It’s about how hard you can get hit and
keep moving forward”
Rocky Balboa
Varför?
”It’s about how hard you can get hit and
keep moving forward”
Rocky Balboa
Threat action by category
”Through 2016, the financial
impact of cybercrime will grow
10% per year, due to the
continuing discovery of new
vulnerabilities.”
Verizon Data Breach Report 2012
25 februari
2013
Skapa förmåga – CERT/CSIRT
Skapa
förmåga
19 februari
2013
Hantera
incidenter
”Decide you must,
how to serve them best”
Roll
Omfattning
Tjänster
•  Uppdragsgivare
•  Intressenter
•  Organisatorisk placering
•  Mål och syfte
•  Budget
•  Befogenheter
•  Reaktiva
•  Proaktiva
•  Kvalitetshöjande
25 februari
2013
Source: http://www.theinspirationroom.co
Organisation CERT/CSIRT
EXTERN
CENTRALISERAD
+
+
+
- 
- 
- 
dedikerat personal
kompetensutveckling
hög kontroll
högre kostnader
svårt att hitta personal
ingen verksamhetskompetens
27 februari
19 februari
2013
2013
INTERN
DISTRIBUERAD
+ central styrning
+ verksamhetskompetens
+ lokal närvaro
-  resursertilldelning
-  svårt att styra
-  kompetensutveckling
-  ansvarsfördelning
Förberedelser
Roll, Omfattning och Tjänster
Personal
• 
• 
• 
• 
Medlemmar (antal)
Kompetens / utbildning
Intressenter / kontaktvägar
Externt / internt samarbete
19 februari
2013
Dokumentation
• 
• 
• 
• 
Riktlinjer
Checklistor
Eskaleringsrutiner
Systemdokumentation
Teknik/verktyg
• 
• 
• 
• 
Övervakning / loggning
Inhämtning
Analysverktyg
Kommunikation / lagring
Incidenthantering
Skapa
förmåga
19 februari
2013
Hantera
incidenter
Incidenthanteringsprocessen
Identifiera
Analysera
INPUT
•  Larm
•  Service desk
•  Interna audits
•  Omvärldsbevakning
•  Leif Nixon
19 februari
2013
Identifiera
Agera
OUTPUT
•  Incidentinformation
Förbättra
Viktiga frågor under hela processen
•  Ägare och arbetsuppgifter
•  Mandat och befogenheter
•  Dokumentation
•  Tidsaspekten (SLA)
•  Samordning / kommunikation
•  Omvärldsbevakning
•  Externa leverantörer
Incidenthanteringsprocessen
Identifiera
INPUT
•  Incidentinformation
19 februari
2013
Analysera
Analysera
Agera
OUTPUT
•  Teknisk
information
•  Verifierad
incident
•  Konsekvens
•  Prioritet
Förbättra
Viktiga frågor under hela processen
•  Ägare och arbetsuppgifter
•  Mandat och befogenheter
•  Dokumentation
•  Tidsaspekten (SLA)
•  Samordning / kommunikation
•  Omvärldsbevakning
•  Externa leverantörer
Incidenthanteringsprocessen
Identifiera
INPUT
•  Teknisk information
•  Verifierad incident
•  Konsekvens
•  Prioritet
Analysera
Agera
OUTPUT
•  Tekniska
åtgärder
•  Nya objekt
för analys
Agera
Förbättra
Viktiga frågor under hela processen
•  Ägare och arbetsuppgifter
•  Mandat och befogenheter
•  Dokumentation
•  Tidsaspekten (SLA)
•  Samordning / kommunikation
•  Omvärldsbevakning
19 februari
2013
•  Externa leverantörer
Incidenthanteringsprocessen
Identifiera
INPUT
•  Erfarenheter
•  Analysresultat
Analysera
Förbättra
Agera
OUTPUT
•  Förbättring av
incidentprocessen
•  Kompetensutveck.
•  Förbättring av ITmiljö
Förbättra
Viktiga frågor under hela processen
•  Ägare och arbetsuppgifter
•  Mandat och befogenheter
•  Dokumentation
•  Tidsaspekten (SLA)
•  Samordning / kommunikation
•  Omvärldsbevakning
19 februari
2013
•  Externa leverantörer
Summering
•  Roll, omfattning,
tjänster
•  Organisatorisk modell
•  Personal
•  Dokumentation
•  Tekniska förberedelse
19 februari
2013
Skapa
förmåga
Hantera
incidenter
• 
• 
• 
• 
Ta emot incidenter
Bra kontaktvägar
Enkla checklistor
Förbättringar
Frågor?
Secure Experience
Jonas Elmqvist
[email protected]
+4670-379 22 74
19 februari
2013