Pravidlá pre hlásenie incidentu a zraniteľnosti

Bezpečnostný incident

je úmyselné využitie zraniteľnosti k spôsobeniu škody alebo straty na aktívach informačného systému alebo neúmyselné vykonanie akcie, ktorej výsledkom je škoda na aktívach. Ďalej je to akékoľvek narušenie bezpečnosti informačných systémov a sietí subjektu, ako aj akékoľvek porušenie bezpečnostnej politiky a súvisiacich pravidiel. 

Zraniteľnosť

je vlastnosť aktíva v návrhu, vyhotovení alebo prevádzke infraštruktúry, ktorá ju činí citlivou na zničenie alebo uvedenie do stavu nespôsobilosti prostredníctvom ohrozenia.


Bezpečnostný incident je možné zadať dvomi spôsobmi:

  1. Zaslaním e-mailu na adresu incident (at) csirt.sk. K e-mailu je možné priložiť prílohy a v prípade potreby využiť aj  PGP kľúč (43,9 kB) na ich zašifrovanie. (V prípade potreby je možné použiť voľne dostupný nástroj GNU GPG).
  2. Telefonicky na čísle 02 / 59278 514

Pri hlásení incidentu (zaslaním e-mailu) platia nasledujúce pravidlá:

  • Je nutné uvádzať korektnú e-mailovú adresu, ktorá je primárnym kontaktom.
  • Je nutné uviesť jednoznačný popis incidentu.
  • Pri popise incidentu uveďte čo najviac informácií, ktoré by mohli pomôcť pri jeho analýze a následnom spracovaní. Každá, aj zdanlivo na prvý pohľad neužitočná informácia, môže byť veľmi užitočná.

Popis incidentu by mal obsahovať tieto údaje:

  • Informácie o osobe  organizácii, ktorá hlási incident
    • funkcia/pracovné zaradenie
    • názov organizácie, typ organizácie (štátna, súkromná, škola, …)
    • ďalšie dotknuté organizácie
  • Informácie o incidente
    • čas začiatku incidentu (ak je známy)
    • čas a spôsob zistenia
    • ide o prebiehajúci incident? (áno/nie/neviem)
    • boli  zneužité nejaké známe zraniteľnosti? (áno/nie/neviem)
    • aké protiopatrenia boli vykonané
    • detailný popis – popis priebehu incidentu, aké typy útokov boli použité, odkiaľ útok smeroval, aké boli bezpečnostné opatrenia (firewall, antivirus, …),či boli prekonané apod.
    • ak ide o spam alebo vírus, pripojte úplnú hlavičku a telo e-mailovej správy alebo  dotknutý súbor zabalený vo formáte ZIP zabezpečený heslom: „incident“
    • ak ide o phising alebo pharming, pripojte prosím aj úplnú adresu URL.
    • ak ide o sieťové skenovanie alebo útok typu odopretia služieb (DoS), pripojte prosím časové známky, časovú zónu, zdrojové a cieľové IP (prípadne MAC)  adresy a porty, typ protokolu (TCP, UDP, ICMP,…) – ak je možné vzorku zachytených paketov  (napr. pomocou programu WireShark)
  • Informácie o zasiahnutých zariadeniach  a dopadoch
    • typ a funkcia zariadenia
    • IP adresa, hostname,
    • protokol a porty na ktoré útok smeroval,
    • popis hardwaru zariadenia,
    • operačný systém (typ, verzia)
    • zasiahnutý software alebo súbory
    • ide o kritické zariadenie z pohľadu pokračovania v činnosti?
    • je zariadenie v prevádzke?
    • kontaktná osoba pre získanie prístupu k zariadeniu
    • obsahuje neverejné informácie?

Zraniteľnosť je možné nahlásiť nasledovne:

 Pri hlásení zraniteľnosti je potrebné uviesť čo najviac informácií, ktoré by mohli pomôcť pri jej analýze, overení a odstránení. Popis zraniteľnosti by mal obsahovať tieto údaje:

  • čas a spôsob zistenia
  • bola už zraniteľnosť niekde publikovaná?
  • typ zariadenia, softvéru, ktorého sa zraniteľnosť týka, presná verzia
  • pokiaľ je to možné, informácie o nainštalovaných záplatách (patch) a aktualizáciách (update)
  • detailný popis – o aký typ zraniteľnosti ide (buffer overflow, XSS, nedostatočná autentifikácia,…), ako je možné zneužiť ju (lokálne , po sieti,  je potrebná autentifikácia?), aké akcie/útoky umožňuje, čo môže spôsobiť jej zneužitie (dôvernosť, integrita, dostupnosť)
  • odhad závažnosti zraniteľnosti

Ak je to možné, pripojte prosím konkrétny súbor (spustiteľný, zdrojový kód), ktorý obsahuje zraniteľnosť zabalený vo formáte ZIP zabezpečený heslom: „zranitelnost“.

Posledná aktualizácia