Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Sicherheitshandbuch - Implementieren des Incident-Response-Plans

10.3. Implementieren des Incident-Response-Plans

Nachdem ein Schlachtplan erstellt wurde, muss dieser verabschiedet und aktiv implementiert werden. Jeder Aspekt dieses Plans, der w�hrend der Implementierung in Frage gestellt wird, resultiert wahrscheinlich in langsamer Reaktionszeit und Systemausfall, falls ein Versto� vorliegt. Hier wird praktische �bung unsch�tzbar. Solange nicht etwas bem�ngelt wird, bevor der Plan aktiv in der Produktionsumgebung eingesetzt wird, sollte der Plan von allen direkt betroffenen Parteien verabschiedet und zuversichtlich implementiert werden.

Wird ein Bruch bemerkt w�hrend die CERT f�r eine schnelle Reaktion vor-Ort ist, k�nnen m�gliche Reaktionen variieren. Das Team kann sich einigen, das Netzwerk zu trennen, die betroffenen Systeme zu trennen, das Sicherheitsloch mit einem Patch zu versehen und schnell wieder ohne weitere Komplikationen zu verbinden. Das Team kann auch die Eindringlinge �berwachen und deren Aktionen verfolgen. Das Team kann sogar einen Eindringling an einen Honigtopf weiterleiten — ein System oder Netzwerksegment, das absichtlich falsche Daten enth�lt — um den Vorfall sicher zu verfolgen ohne Produktionsressourcen zu unterbrechen.

Die Reaktion auf einen Vorfall sollte, wenn immer m�glich, von Informationssammlung begleitet werden. Das Ausf�hren von Prozessen, Netzwerkverbindungen, Dateien, Verzeichnissen und vielem mehr sollte aktiv in Echtzeit �berpr�ft werden. Ein Schnappschuss der Produktionsressourcen zum Vergleich ist hilfreich beim Verfolgen von schlechten Services oder Prozessen. CERT-Mitglieder und In-House Experten stellen gro�artige Ressourcen bei der Verfolgung dieser Anomalien in einem System dar. Systemadministratoren wissen, welche Prozesse erscheinen sollten und welche nicht, wenn die Befehle top oder ps ausgef�hrt werden. Netzwerkadministratoren wissen, wie normaler Netzwerkverkehr aussieht, wenn snort oder tcpdump ausgef�hrt wird. Diese Team-Mitglieder kennen ihre Systeme und sollten in der Lage sein, Anomalien schneller zu entdecken als jemand, der sich mit der Infrastruktur nicht auskennt.

 
 
  Published under the terms of the GNU General Public License Design by Interspire