Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
standse angrebet og isol<strong>er</strong>e de b<strong>er</strong>ørte system<strong>er</strong> så vidt som muligt. H<strong>er</strong>eft<strong>er</strong> kan man igangsætte en<br />
und<strong>er</strong>søgelse af hændelsen uden at risik<strong>er</strong>e yd<strong>er</strong>lig<strong>er</strong>e kompromitt<strong>er</strong>ing.<br />
IT-angreb bør hurtigst muligt anmeldes til Politiet, som vil vurd<strong>er</strong>e, om d<strong>er</strong> <strong>er</strong> behov for en egentlig<br />
eft<strong>er</strong>forskning. GovCERT kan bistå med kontakten til Politiet. Det sidste (og ofte mest<br />
ressourcekrævende) skridt <strong>er</strong> d<strong>er</strong>eft<strong>er</strong> oprydningsarbejdet eft<strong>er</strong> hændelsens afslutning.<br />
1.1 Første fase: Akut-fasen<br />
1.1.1 Stands angrebet<br />
• Stop adgang til/fra int<strong>er</strong>nettet – inkl. e-mail<br />
• Stop int<strong>er</strong>ne s<strong>er</strong>v<strong>er</strong>e og/ell<strong>er</strong> s<strong>er</strong>vices, d<strong>er</strong> kan vid<strong>er</strong>ebringe infic<strong>er</strong>ing via f.eks. file-shares<br />
1.1.2 Angrebets omfang<br />
For at kunne spore angrebets oprindelse, samt identific<strong>er</strong>e omfanget af kompromitt<strong>er</strong>ingen, <strong>er</strong><br />
det vigtigt, at man sørg<strong>er</strong> for at sikre blandt andet logfil<strong>er</strong>. Afhængig af angrebstypen vil man<br />
muligvis kunne finde relevante oplysning<strong>er</strong> i forskellige typ<strong>er</strong> logfil<strong>er</strong>:<br />
• Netværkslogs: Firewall, DNS, IDS, proxy, NetFlow fra netværksenhed<strong>er</strong><br />
• S<strong>er</strong>v<strong>er</strong>logs: Web s<strong>er</strong>v<strong>er</strong> logs, applikationslogs, event logs, lokal IDS/firewall, sche<strong>du</strong>led tasks<br />
I tilfælde af, at d<strong>er</strong> ikke logges, bør d<strong>er</strong> hurtigst muligt slås relevant logning til, d<strong>er</strong> sendes til et centralt<br />
samlingssted.<br />
I forbindelse med und<strong>er</strong>søgelsen af logfil<strong>er</strong>ne <strong>er</strong> det vigtigt at identific<strong>er</strong>e, hvordan det <strong>er</strong> lykkedes<br />
angrib<strong>er</strong>ne at tilegne sig adgang til system<strong>er</strong>ne. Drej<strong>er</strong> det sig f.eks. om en kendt sårbarhed, d<strong>er</strong> har<br />
været udnyttet?<br />
1.1.3 Kontakt GovCERT<br />
Ring til GovCERT på vores vagtnumm<strong>er</strong> – 7231 9420 – og giv os så mange information<strong>er</strong> om<br />
hændelsen som muligt. Vi vil først stille nogle spørgsmål for at hjælpe os til at forstå hændelsen<br />
bedre. Vi oprett<strong>er</strong> d<strong>er</strong>eft<strong>er</strong> en sag, hvori al relevant information omkring hændelsen vil blive<br />
registr<strong>er</strong>et, og som kan være til hjælp i sagens und<strong>er</strong>søgelse.<br />
1.1.4 Anmeld sagen til Politiet<br />
Det Nationale IT-Eft<strong>er</strong>forskningscent<strong>er</strong> (NITEC) bistår Politiet i sag<strong>er</strong> vedrørende hacking samt andre<br />
typ<strong>er</strong> af elektronisk kriminalitet. Vi råd<strong>er</strong> normalt kund<strong>er</strong> til at anmelde sag<strong>er</strong> vedr. hacking til NITEC –<br />
de kan kontaktes telefonisk på 3314 8888 ell<strong>er</strong> via e-mail: it-kriminalitet@politi.dk