Foredrag - NSM
11.07.2015 Views
Share Embed Flag

Foredrag - NSM

Foredrag - NSM

Foredrag - NSM

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
  • No tags were found...
nsm.stat.no

You also want an ePaper? Increase the reach of your titles

YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.

START NOW

Håndtering av dataangrepSlik gjorde vi detPer Atle VagleStatoil CSIRT

Computer Security Incident Response Team(CSIRT)Ekspertgruppeetablert for åbeskytte Statoilsinteresser motelektroniske angrepAnsvarlig forhåndtering ogkoordinering avalvorlige IThendelser i Statoil~20 personer fordeltpå CSIRT og SOCCSIRTstjenesterkandeles i toReaktive tjenester• Incident handling• Forensics and analyses• Vulnerability managementProaktive tjenester• Security audits/assessment• Risk analysis• Awareness

CSIRT – ArbeidsmetodikkAgile• Jobber i grupper• Ressurser kan ikke bookes i prosjekter• Hendelser alltid høyeste prioritet• Godt samarbeid med andre avdelingerog teamKommunikasjon• Ticketsystem• 24/7 vakttelefon• Gruppe-Mailbox• Communicator, tandberg, osv…

Hendelser i Statoil

Slik gjorde vi det….Tirsdag-Torsdag• Tirsdag− IT-drift får alarm på en PC om mistenkelig nedlasting• Onsdag− Fire maskiner har nå hentet ned samme fil− Analyse av fil viser at filen kan være ett virus• Torsdag− Filen ser ut til å inneholde bl.a. en key-logger− Filen blir ikke oppdaget av våre Anti-Virus system− CSIRT blir kontaktet

Slik gjorde vi det….Torsdag – Dag 1• CSIRT undersøker logger og ser at de fire infiserte maskinene har vært på sammenettsted• Finner så ut at cirka 30 andre maskiner har også vært på samme nettsted• Ser ikke ut til å være tilfeldige brukere – mistenker målrettet angrep• Kontakter våre samarbeidspartnere og informerer• Begynner å få klarere bilde av hendelsen− Bruker går til nettsted og blir infisert− Virus blir lastet ned på klient− Virus forsøkes kjørt på klient, prøver å hente ned mer kode fra ett annetnettsted• Sender sample til analyse, til AV selskap og starter egen analyse av malware

Slik gjorde vi det….Fredag – Dag 2• Mottar anti-virus signaturer og installerer på samtlige maskiner• Analyse av virus viser hva viruset har forsøkt å gjøre− Ble stoppet av andre forsvarsmekanismer− Ser ut til å være «water holing»• Ber om at samtlige infiserte maskiner sendes til oss• Anser nå hendelsen som «contained»

Slik gjorde vi det….Lørdag – Dag 3• Nettstedet som har infisert oss kontakter brukerne og informerer.• Virus fjernet fra siden

Slik gjorde vi det….Mandag – Dag 5• Analyse av virus fortsetter• Analyse av trafikk fra infiserte maskiner fortsetter− Vi vet hva viruset prøvde på (men ikke fikk til) men har det prøvd noe merogså?• Starter «retrospective»− Hva fungerte bra/ikke bra− Skal prosedyrer endres

Slik gjorde vi det….Tirsdag – Dag 6• Forteller om dette på <strong>NSM</strong>s sikkerhetskonferanse 2013

Håndtering Thank av you dataangrepSlik gjorde vi detPresentation titlePer Presenters Atle Vagle nameStatoilPresentersCSIRTtitlepav@statoil.comE-mail address, tel: +00 00 00 00www.statoil.comwww.statoil.com

logo

products

Resources

Company

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!