home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Textfiles / zines / Midnight-Raid / midnightRAID_iss4.docmaker.sit / midnightRAID_iss4.docmaker.rsrc / TEXT_139.txt

< prev

next >

Wrap

Text File  |  1999-03-25  |  16KB  |  333 lines

---

1. FEDERAL COMPUTER INCIDENT RESPONSE CAPABILITY (FEDCIRC)
2. The need for an incident handling capability that crosses agency
3. boundaries has never been greater.  Almost all federal agencies
4. are now connected to the Internet and exchange information
5. regularly.  The large number of Internet-related incidents that
6. have occurred in the past year, along with the increase and
7. complexity of threats, requires agencies to take seriously their
8. incident handling capability.  The Office of Management and
9. Budget has emphasized this need in OMB Circular A-130, Appendix
10. III, by requiring agencies to be able to respond in a manner that
11. both protects their own information and helps to protect the
12. information of others who might be affected by the incident.  The
13. private sector is undergoing the same rapid growth in network
14. dependency as the federal community and is in need of the same
15. incident handling support.  Several private-sector organizations
16. have foreseen this need and have begun to offer incident handling
17. services.
18.  
19. In answer to the need for a U.S. Government-wide incident
20. response capability to assist federal civilian agencies, the
21. National Institute of Standards and Technology (NIST) initiated
22. the Federal Computer Incident Response Capability (FedCIRC)
23. Program.  Initially funded by the Government Information
24. Technology Services (GITS) Innovation Fund Committee, FedCIRC
25. assists federal civilian agencies in their incident handling
26. efforts by providing proactive and reactive computer security-
27. related services.  This CSL Bulletin describes the FedCIRC
28. Program.
29.  
30. FedCIRC History
31. In 1989, NIST and several other organizations sought to develop a
32. group to facilitate sharing computer security, vulnerability, and
33. threat information.  The group evolved into the Forum of Incident
34. Response and Security Teams (FIRST).  FIRST is now an
35. international coalition which brings together a variety of
36. computer security incident response teams from government,
37. commercial, and academic organizations.  Currently FIRST has more
38. than 55 incident response teams participating as members.  While
39. developing FIRST, NIST recognized the need for a centralized
40. group to handle computer security-related incidents for the
41. federal civilian community.  Until now, that need was not fully
42. addressed primarily due to funding and control issues.  The
43. funding required could not be placed solely on one agency.=20
44. Additionally, a neutral organization was needed to house the
45. capability.  Accordingly, NIST conceived and proposed the idea of
46. FedCIRC to GITS.  GITS approved the proposal and on October 21,
47. 1996, FedCIRC became operational.
48.  
49. The mission of FedCIRC is to develop a self-sustaining incident
50. response capability that meets the needs of the federal civilian
51. agencies.  It is envisioned that the needs of the agencies will
52. evolve as agencies begin to develop their own incident handling
53. capabilities.  FedCIRC will be flexible in its mission to meet
54. those ever-changing needs.  Critical to the success of FedCIRC is
55. a continued awareness of what the federal civilian agencies are
56. doing on their own and where they need FedCIRC assistance.=20
57. FedCIRC combines the experience and expertise of NIST's Computer
58. Security Division, the Defense Advanced Research Project Agency's
59. CERT(SM) Coordination Center (CERT/CC), and the Department of
60. Energy's Computer Incident Advisory Capability (CIAC) to provide
61. agencies with cost-reimbursable, direct technical assistance and
62. incident handling support.=20
63.  
64. Operations
65. The FedCIRC operations team is comprised of individuals from
66. three distinct organizations (NIST, CERT/CC, and CIAC) that
67. operate in concert.  Each organization has its prime roles and
68. responsibilities and also contributes to the overall project.
69. NIST subcontracts the operational incident handling capability to
70. CERT/CC and CIAC.  NIST is responsible for operational management
71. and for facilitating the development of incident handling
72. standards and guidelines by utilizing the threat and
73. vulnerability data collected by FedCIRC.  The vulnerability
74. information will also be used in the analysis and testing of
75. software and other products. =20
76.  
77. Services
78. FedCIRC provides six primary services to federal civilian
79. agencies.  The amount of service depends on the subscription
80. level to which an agency or major operating unit subscribes.  The
81. services are:  incident handling information, incident response
82. and hotline support, annual FedCIRC incident handling conference,
83. semi-annual "state of the threat" subscriber meetings,
84. information security evaluation, and assistance in establishing
85. an on-site incident response capability.  These services are
86. briefly described in the following paragraphs.
87.  
88. Incident Handling Information
89. The incident handling information is the foundation of FedCIRC.=20
90. The availability of the incident response hotline support and the
91. collection, analysis, and publication of threat, vulnerability,
92. and other security-related data can only be accomplished if the
93. underlying infrastructure is in place.  The infrastructure
94. consists of the following activities:
95.  
96. =07      alert creation;
97. =07      interaction with other incident handling organizations, law
98.        enforcement, and vendors;
99. =07      threat and trend analysis;
100. =07      hotline availability;
101. =07      data tracking;
102. =07      vulnerability analysis;
103. =07      report generation;
104. =07      database maintenance;
105. =07      guidance documents (e.g., best practices);
106. =07      web site maintenance; and
107. =07      technology watch.
108.  
109. FedCIRC subscribers will receive by e-mail a Quarterly Summary
110. Report which contains sanitized data and statistics about types
111. of incidents, trends, and information on new tools and guidance
112. on preventing and handling incidents.  The Quarterly Summary
113. Report is available to the public and will include aggregate data
114. on number of calls, number of incidents handled, type of
115. incidents handled, type of systems attacked, and effects of
116. incidents.  It will not contain names of sites or FedCIRC
117. subscribers. =20
118.  
119. FedCIRC will maintain a public web site to provide access to a
120. repository of tools and to give example practices.  The following
121. outline presents some of the topics to be covered on the FedCIRC
122. web site.
123.  
124. =07      What is FedCIRC? (a description of FedCIRC services and how
125.        to take advantage of them);
126. =07      e-mail list services;
127. =07      alerts and advisories;
128. =07      useful security tools;
129. =07      repository of useful computer security-related documents
130.        such as best practices;
131. =07      virus information;
132. =07      pointers to FIRST (Forum of Incident Response and Security
133.        Teams);
134. =07      pointers to other security servers;
135. =07      communication with FedCIRC; and
136. =07      training opportunities.
137.  
138. A set of FedCIRC security alerts, modeled after the CIAC
139. Bulletins and the CERT Advisories, will be made available to
140. FedCIRC members as events require.  These alerts will include a
141. description of the vulnerability or problem, the platform(s),
142. operating system(s) affected, the impact of the vulnerability
143. problem, and patches and work-arounds, if available.  The alerts
144. will reflect the combined expertise and perspectives of the
145. nation's most experienced incident response teams.
146.  
147. Incident Response and Hotline Support
148. Emergency technical assistance in response to computer security
149. incidents is provided 24 hours per day, seven days a week.  A
150. "help desk" provides assistance during "normal business hours"
151. (8:30 a.m. to 9:00 p.m. EST/EDT).  Assistance is provided via
152. telephone, e-mail, and pager hotline.=20
153.  
154. Incident response support ranges from providing agencies with
155. direct technical support to handle computer security incidents or
156. providing backup support to agency response teams dealing with
157. large and complex incidents, to only providing agency response
158. teams with information on threats, vulnerabilities, and
159. countermeasures that allow agency teams to effectively deal with
160. incidents on their own.=20
161.  
162. Many activities are required to provide an incident response.=20
163. Some sample activities that provide this support include:
164.  
165. =07      problem analysis:  analyze the problem, determine the
166.        magnitude of the threat, and provide technical assistance in
167.        identifying and closing vulnerabilities;
168.  
169. =07      technical advice:  issue advisories to the agencies warning
170.        of the problem and describing countermeasures;
171.  
172. =07      technical advice:  provide guidelines on implementing
173.        vulnerability patches and other security controls;
174.  
175. =07      assistance:  facilitate the interaction of victims and
176.        relevant law enforcement agencies in reporting security
177.        incidents involving violations of the law;
178.  
179. =07      assistance:  coordinate with other security organizations
180.        including the Forum of Incident Response and Security Teams
181.        (FIRST);
182.  
183. =07      assistance:  work with vendors to provide critical security
184.        patches and work-arounds; and
185.  
186. =07      vulnerability analysis:  perform vulnerability analysis to
187.        identify a vulnerability's root cause to mitigate or prevent
188.        potential problems before they occur.
189.  
190. The types of operating systems FedCIRC will handle include:=20
191. UNIX, VMS, MVS, DOS, Windows, Mac, NT, VM, and MPE-XE.  The types
192. of protocols covered include:  TCP/IP, IPX, Ethernet, LAT,
193. DECnet, Token Ring, and FDDI.
194.  
195. Annual FedCIRC Incident Handling Conference
196. An annual conference on the current state of security threats and
197. security improvement practices will be held in the Washington,
198. D.C. area.  The conference will provide an opportunity for
199. federal agencies to share lessons learned from security incidents
200. and the results of security improvement efforts.  The annual
201. conference will be a two-day event addressing countermeasures
202. identified as reducing the current risks to federal information
203. systems.  Some of the proposed agenda topics or tracks for the
204. annual conference are:
205.  
206. =07      status of the FedCIRC effort;
207. =07      updates from various FedCIRC members, e.g., successes,
208.        lessons learned;
209. =07      sessions on forming and sustaining an organic incident
210.        response capability;
211. =07      session on incident escalation and when to contact the
212.        FedCIRC hotline; and
213. =07      trade show exhibit space for vendors.
214.  
215. Semi-Annual "State of the Threat" Subscriber Meetings
216. In a given year, two subscriber meetings will be conducted.=20
217. Meeting agendas will consist of two and a half days of briefings
218. on current incident trends, recent vulnerabilities, latest
219. viruses, and concentrated training.  Detailed descriptions,
220. impacts, fixes, and work-arounds will be disseminated at
221. subscriber meetings.  FedCIRC subscribers will share related
222. experiences, current practices, policies, and procedures during
223. these meetings.  General topics to be covered during the state-
224. of-the-threat meetings will include:
225.  
226. =07      an overview of FedCIRC and its goals;
227. =07      a description of FedCIRC services;
228. =07      a review of FedCIRC expectations placed on subscriber
229.        agencies;
230. =07      current incident trends;
231. =07      recent vulnerabilities -- descriptions, impacts and fixes or
232.        work-arounds;
233. =07      current intruder tools -- descriptions, usage,
234.        countermeasures;
235. =07      recent viruses and identification of anti-virus packages to
236.        combat them or interim protection methods;
237. =07      a review of existing viruses and vulnerabilities that
238.        continue to be exploited;
239. =07      presentations by FedCIRC members describing related
240.        experiences and current practices;
241. =07      open discussion and questions and answers about relevant
242.        policies and procedures; and
243. =07      technical training seminars, including:
244.  
245.        -      Internet Security for System and Network
246.               Administrators,
247.        -      Connecting to the Internet Securely,
248.        -      LAN Security for Desktop Systems - Novell, Windows
249.               95/NT, and
250.        -      Virus Detection, Eradication, and Prevention.
251.  
252. The training that is provided during the semi-annual subscriber
253. meetings will evolve as required to address current computer and
254. information risks.=20
255.  
256. Information Security Evaluation
257. An information security evaluation (ISE) of a single agency
258. program will be conducted.  The program to be evaluated will be
259. identified prior to signing an interagency agreement.  The
260. evaluation will be performed over a four-month time frame and
261. will be tailored to the subscriber's needs.  The ISE assessment
262. includes a review of selected components of the agency's network
263. policy, infrastructure, and network topology.  The assessment
264. identifies high-leverage improvement opportunities and the most
265. serious network vulnerabilities.
266.  
267. Recommendations on improving the security of the program will be
268. presented in a report.  A one-day training session designed for
269. the agency and addressing the report's recommendations will be
270. presented on-site for all network and security administrators.=20
271.  
272. Assistance in Establishing an On-Site Incident Response
273. Capability
274. Mentoring and hands-on training at CERT/CC and/or CIAC will be
275. conducted for a maximum of five students.  Subscriber agencies
276. are responsible for students' travel and accommodations.=20
277. Training will be tailored to the needs of the subscriber.  The
278. training consists of working with incident handling specialists
279. to answer hotline calls, handle incidents, and prepare alerts.=20
280. All the issues, such as dealing with the press, law enforcement,
281. security and network experts, and vendors, will be explored
282. through first-hand experience.=20
283.  
284. This training covers topics such as:
285.  
286. =07      volunteer Incident Response Capability (IRC) option;
287. =07      incident escalation to FedCIRC;
288. =07      defining a budget and sustaining it over fiscal years;
289. =07      space, equipment and personnel;
290. =07      operational issues - incident handling procedures, physical,
291.        and electronic security;
292. =07      press issues;
293. =07      confidential versus public information;
294. =07      developing technical documents and standard replies;
295. =07      developing a FAQ (Frequently Asked Question);
296. =07      training constituency on reporting incidents, encryption,
297.        and other computer-related security topics;
298. =07      types of incidents;
299. =07      types of responses;
300. =07      importance of reference numbers;
301. =07      staffing requirements; and
302. =07      information requests.
303.  
304. Funding
305. FedCIRC is only funded for the first year through the Government
306. Information Technology Services (GITS) Innovation Fund.  At the
307. end of the first year, the GITS committee will make a
308. determination whether to provide an additional half year of
309. funding.  The option for additional funding is based on agency
310. buy-in and on what has been accomplished through FedCIRC=FEs first
311. year.  The plan to convert the FedCIRC pilot project into a self-
312. sustaining program is through agency subscriptions.  Agencies
313. subscribe to FedCIRC Incident Response Handling Services based on
314. several yearly subscription rates below.  The services provided
315. under each subscription rate can be tailored to the agency's
316. individual needs.
317.  
318. Platinum      -- $250,000.
319. Gold          -- $110,000.
320. Silver        -- $ 50,000.
321.  
322. Contact Information
323. For more detailed information about FedCIRC, contact Marianne
324. Swanson or Fran Nielsen at 301-975-4369 or e-mail at
325. fedcirc.info@nist.gov.  The FedCIRC web site can be reach at the
326. URL:  http://csrc.nist.gov/fedcirc.  If incident handling
327. assistance is needed, please contact the FedCIRC Hotline at 412-
328. 268-6321 or e-mail at fedcirc@nist.gov.
329.  
330.  
331.  
332.  
333.