Procedura di Gestione Incidenti

https://www.cert.garr.it

Procedura Approvata dal CTS GARR il 23/1/2007

Questo documento descrive la procedura utilizzata dal GARR-CERT nella gestione degli incidenti di sicurezza che coinvolgono la Rete per l'Università e la Ricerca Scientifica Italiana (GARR).

Le comunicazioni emesse dal GARR-CERT verso gli altri soggetti coinvolti si svologno principalmente tramite posta elettronica (con firma elettronica).

 

La procedura si compone dei seguenti punti:

  1. GARR-CERT riceve la segnalazione di incidente, e verifica che vi siano coinvolti soggetti appartenenti alla rete GARR.
  2. Se la verifica dà esito affermativo, GARR-CERT assegna all'incidente un numero univoco, ed invia una comunicazione all'APM locale, in quanto responsabile del router locale di connessione alla rete GARR e possibile soggetto di una successiva richiesta di azione. All'APM viene anche richiesta collaborazione per individuare i responsabili locali interessati. La comunicazione richiede l'intervento per la risoluzione del problema entro un tempo commisurato alla gravità del caso, e, se possibile, fornisce anche indicazioni e suggerimenti utili. GARR-CERT risponde anche a coloro che hanno segnalato l'incidente, inviando una comunicazione con il numero assegnato all'incidente. Nei casi particolarmente gravi, in particolare quelli con rilevanza anche penale, la comunicazione inviata all'APM conterrà anche l'invito, nel caso che il problema non venga risolto entro i termini specificati nell'avviso stesso, a procedere autonomamente al filtraggio, senza attendere ulteriori comunicazioni da parte di GARR-CERT. Copia del messaggio viene inviata anche all'APA e a GARR-NOC. Si prosegue dal punto 5.
  3. Se i responsabili locali reagiscono nel tempo richiesto, si prosegue dal punto n. 9
  4. Se i responsabili locali non reagiscono nel tempo richiesto, GARR-CERT invia all'APM locale la richiesta di filtraggio sul router di connessione alla rete GARR della rete/calcolatore/servizio causa del problema. Anche in questa segnalazione viene indicato un tempo massimo d'intervento, che è commisurato alla gravità. La comunicazione viene anche inviata per conoscenza a GARR-NOC, in quanto responsabile del router di accesso (POP) alla rete GARR (e possibile soggetto di una successiva richiesta di azione), nonchè ai responsabili locali della rete/calcolatore/servizio coinvolta.
  5. Se l'APM locale agisce nel tempo richiesto, si prosegue dal punto n. 8
  6. Se l'APM locale non interviene entro i tempi richiesti, GARR-CERT invia al GARR-NOC la richiesta di filtraggio della rete/calcolatore/servizio causa dell problema sul router di accesso (POP) alle rete GARR. Allo stesso tempo la comunicazione viene inviata per conoscenza anche all'APM locale ed ai responsabili locali della rete/calcolatore/servizio coinvolti. Nei casi gravi previsti al punto 2, se la scadenza dei termini è al di fuori dell'orario di lavoro di GARR-CERT, GARR-NOC, procede al filtraggio senza la sua richiesta.
  7. Il GARR-NOC procede con il filtraggio richiesto, e lo comunica al GARR-CERT.
  8. GARR-CERT verifica che la rete/calcolatore/servizio che causano il problema siano stati filtrati, e invia a coloro che hanno segnalato l'incidente la comunicazione di "problema neutralizzato".
  9. Quando i responsabili locali comunicano l'avvenuta risoluzione del problema, GARR-CERT controlla e, se la verifica da' esito positivo, invia la richiesta di rimozione dei filtri applicati all'APM locale (e per conoscenza al GARR-NOC) o viceversa (a seconda di chi aveva applicato il filtro). La richiesta di rimozione viene anche inviata per conoscenza ai responsabili locali della rete/calcolatore/servizio che aveva causato il problema. GARR-CERT invia quindi a coloro che hanno segnalato l'incidente la comunicazione di "problema risolto". A questo punto GARR-CERT chiude definitivamente l'incidente.

I tempi richiesti di intervento sono indicativamente i seguenti:

  • open mail relay: 3 giorni;
  • nodi origine di azioni ostili (port scan, attacchi, ecc.): 1 giorno;
  • nodi utilizzati per attacchi DoS: 5 ore.
  • incidenti con rilevanza anche penale: 4 ore.

 

 

Stampa Email

Questo sito utilizza i cookie per migliorare servizi ed esperienza dei lettori. Se decidi di continuare la navigazione consideriamo che accetti il loro uso. Per maggiori informazioni sull'uso dei cookies e su come eliminarli leggi l'informativa estesa