tegutsemiseks küberintsidendi korral
Riigi Infosüsteemi Ameti intsidentide käsitlemise osakond CERT-EE jälgib Eesti IP-ruumi, tegeleb avaliku sektori ennetava kaitsega ning tuvastab Eesti arvutivõrkudes toimuvaid küberintsidente. Tuvastatud intsidendi korral aitab CERT-EE uurida intsidendi juurpõhjust ning nõustab intsidendi lahendamist.
Küberintsidendi korral saate abi CERT-EE-st e-posti aadressil cert@cert.ee või helistades telefonil +372 663 0299.
Asutused ja teenuseosutajatele on intsidendist teavitamiseks teavituskeskkond: https://raport.cert.ee/. CERT-EE töötab ööpäev läbi.
CERT-EE ootab teavitusi kõigi küberintsidentide kohta. Täiendavaks konsultatsiooniks ja intsidendi analüüsiks on vaja, et:
- organisatsioon on valmis intsidendi detaile jagama;
- organisatsioonil on kontaktisik, kes on volitatud CERT-EEga rääkima.
Andmete konfidentsiaalsus tagatakse vastavalt KüTS § 13 lg 2.
NB! CERT-EE ei võta organisatsioonilt intsidendi lahendamise vastutust ega juhtimist üle, vastutab jätkuvalt organisatsioon ise.
Küberintsidendi käsitlemise sammud
Teavita CERT-EE viivitamata, kuid hiljemalt 24 tundi pärast teada saamist küberintsidendist:
- millel on süsteemi turvalisusele või teenuse toimepidevusele oluline mõju;
- mille oluline mõju süsteemi turvalisusele või teenuse toimepidevusele ei ole ilmne, kuid seda võib mõistlikult eeldada.
Kasuta teavitamiseks CERT-EE teavituse vormi: https://raport.cert.ee/.
Fikseeri olukord:
- talleta lokaalsed ja logiserveri logid (vt järgmine peatükk);
- säilita konfiguratsioon (nt tulemüüri reeglid);
- tee mõjutatud süsteemidest kettatõmmised;
- talleta vähemalt viimane varukoopia enne intsidenti, võimalusel aga kõik selleks momendiks säilinud intsidendis osalenud süsteemide varukoopiad.
- Määratle intsidendi ulatus, mõjutatud süsteemid;
- Isoleeri kompromiteeritud ja kompromiteerimise kahtlusega süsteemid;
- IT-teenuse töö taastamine;
NB! Palume vältida asjakohaste tõendusmaterjalide (logide) hävimist süsteemi taastamise käigus.
Planeeri parendustegevused intsidendi juurpõhjuste analüüsi tulemusena.
Logid
Intsidendi lahendamisel ja juurpõhjuste analüüsil on kõige kriitilisema tähtsusega logides olev info. Kõiki logisid soovitame hoida minimaalselt 1 a, võimalusel 3 a või rohkem. Logid tuleb varundada eraldatult – eraldi võrgukettal või eraldi serveris.
Järgnevalt on toodud loend logidest, millest võib intsidendi analüüsil kasu olla:
- Võrguseadmete logid: tulemüürid (session create, drop jms), VPNi seadmed, switchid ja ruuterid.
- Võrguliikluse metaandmed (netflow) või full-pcap võimekus (CERT-EE aitab seda koguda S4a võrguliikluse sensori abil, kui CERT-EE on kaasatud intsidendi lahendamisse).
- Baas-võrguteenuste logi: DHCP logi, DNS päringute logi.
- Kõikide asjasse puutuvate domeenikontrollerite logid (lisaks primaarsele domeenikontrollerile ka sekundaarsete DC’de logi) ja/või teiste identiteedi ja pääsuhalduse süsteemide logid s.h. pilveteenustest (Microsoft Entra ID, Okta, OneLogin)
- Turbetehnoloogiate logi: näiteks AV/EDR/XDR tooted.
- Rakenduste logi, eriti kõiki mis puudutab kasutajate autentimist ja autoriseerimist: näiteks sisselogimised, väljalogimised, uute kontode loomised, õiguste muutmised.
- Veebiserverite logi
- Lõppsüsteemidest operatsioonisüsteemide logi:
- vaikimisi mahalogitavad sündmused (Windows Event Log, Linux syslog);
- kui on eraldi konfitud, siis logi protsesside, võrguühenduste, failisüsteemi operatsioonide kohta: näiteks Windows süsteemides väga kasulik Sysmon poolt tekitatud logi, Linuxis auditd logi.
- Serverite out-of-band haldusliideste logi (IMM, IPMI, ILO).
- ISP logid: tuleb välja küsida teenusepakkujalt.
NB! Windows-i korral tuleb täiendav logimine eraldi seadistada kuna vaikeseadetes logid ei pruugi olla piisavad intsidendi lahendamiseks.
Vt ka: https://www.ria.ee/kuberturvalisus/kuberintsidentide-kasitlemine-cert-ee
