Jak správně napsat hlášení bezpečnostního incidentu

CESNET-CERTS preferuje hlášení bezpečnostních incidentů zaslaná elektronickou poštou na adresu certs@cesnet.cz. Každé hlášení by mělo obsahovat kompletní popis problému. Pracovníci CESNET-CERTS se budou zabývat ohlášeným incidentem co nejdříve a budou vás informovat o vyřešení problému. Odpověd na ohlášený incident obdržíte z adresy certs@cesnet.cz a zpráva bude podepsána naším PGP klíčem.

Základní pravidla pro vytvoření hlášení bezpečnostního incidentu

  • Hlášení pošlete jako jednoduchý textový e-mail, v případě potřeby s přílohou.
  • Report by se měl týkat jedné IP adresy nebo jednoho adresového bloku.
  • Předmět zprávy by měl obsahovat IP adresu nebo adresový blok a typ incidentu (spam, virus, scanning, DDOS, hacking, phishing, pharming, porušení autorských práv, …).
  • Hlášení o scanování musí obsahovat část logu obsahující záznamy o útoku:
    • časové známky, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
    • zdrojovou a cílovou IP adresu
    • zdrojový a cílový port
    • použitý protokol (TCP/UDP/ICMP).
  • Hlášení o spamu nebo viru musí obsahovat kompletní nemodifikovanou hlavičku údajného infikovaného nebo spamujícího e-mailu.
  • Hlášení o spamu („unsolicited commercial email“) by mělo obsahovat kompletní nemodifikovanou hlavičku i tělo zprávy.
  • Hlášení porušení autorských práv musí obsahovat následující informace:
    • časovou známku, časovou zónu, přesnost údajů (synchronisace prostřednictvím NTP)
    • IP adresu, na které je uloženo dílo porušující autorské právo
    • službu použitou pro zveřejnění díla porušujícího autorské právo (BitTorrent, FTP, …)
    • typ (název, …) díla porušujícího autorské právo.
  • Hlášení phishingu nebo pharmingu musí obsahovat URL a pokud možno i zdrojová data webové stránky.
  • Hlášení musí obsahovat základní kontaktní informace - jméno reportujícího a jméno organizace. Pokud se jedná o urgentní záležitost, uveďte laskavě i telefonní číslo.
  • Hlášení musí být odesláno z platné e-mailové adresy.
  • Uveďte informaci, zda je hlášení pouze informativního charakteru, nebo zda očekáváte odpověď.

Doporučení

Pro hlášení odeslané elektronickou poštou doporučujeme dodržet i tato pravidla:

  • Vhodně zvolit jazyk. Pokud si nejste jisti, který jazyk cílový adresát ovládá, napište dopis anglicky.
  • Zpráva by měla být sestavena tak, aby ji nevyřadila antispamová nebo antivirová ochrana.
  • Podpis: „občanský“ podpis je samozřejmostí; z hlediska ochrany vlastní identity a integrity zprávy je vhodný i elektronický podpis (PGP, X.509).
  • Každé hlášení by mělo být stručné, jasné, srozumitelné a zdvořilé. Mělo by také obsahovat sdělení, zda se jedná pouze o upozornění nevyžadující odpověď, nebo zda očekáváte reakci (vysvětlení, výčet podniknutých kroků, …).

Základní bezpečnostní incidenty

Jakékoliv porušení platných zákonů České republiky, např.

  • pokusy o neoprávněné průniky do cizích strojů, útoky na běžící služby
  • pokusy o neoprávněný přístup k důvěrným datům,
  • útoky DoS a DDoS,
  • jakékoli rozsáhlé a plošné útoky, např. phishing, lámání hesel, šíření virů a spamu, scanování,
  • zneužití přístupového jména a hesla,
  • porušení autorských práv,
  • ohrožení osob.

Hlásit nebo nehlásit?

Nepředpokládáme, že každý je odborník na počítačovou bezpečnost. To je role týmu CESNET-CERTS.

Nepředpokládáme ani, že každý je schopen správně rozpoznat, klasifikovat a popsat bezpečnostní incident. Pokud tedy váháte, jestli incident ohlásit nebo ne, raději jej nahlaste. Na chybějící informace se v případě potřeby doptáme.

Děkujeme za spolupráci

Tým CESNET-CERTS