home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nist / csl02_92.txt < prev    next >
Text File  |  1994-07-02  |  15KB  |  316 lines
  1.              COMPUTER SYSTEMS LABORATORY BULLETIN
  2.          Advising users on computer systems technology
  3.                         February 1992
  4.  
  5.  ESTABLISHING A COMPUTER SECURITY INCIDENT RESPONSE CAPABILITY
  6.  
  7. Introduction
  8.  
  9. Computer systems and the information they store are valuable
  10. resources that need to be protected.  Increasingly sophisti-
  11. cated threats including system and network intruders,
  12. computer viruses, and network worms can exploit a variety of
  13. weaknesses in computer systems and cause significant damage. 
  14. Due to increased use of local area networks (LANs) and large
  15. networks such as the Internet, damage caused by seemingly
  16. isolated computer security incidents can spread to other
  17. systems, causing widespread denial of service and other
  18. losses.
  19.  
  20. Government agencies, business, and academic institutions need
  21. to take steps to understand the increased threats now
  22. affecting computer systems and to learn how to respond to
  23. computer security incidents with the requisite speed and
  24. skill.  This bulletin recommends the use of a Computer
  25. Security Incident Response Capability (CSIRC) as part of a
  26. computer security program so that incidents can be contained
  27. and ultimately prevented in a timely and cost-effective
  28. manner.
  29.  
  30. A Changing Threat Scenario
  31.  
  32. Prior to the mid 1980s, the predominate threats to computer
  33. security (besides errors and omissions) were physical and
  34. environmental, including insider attacks, fire and water
  35. damage, theft, and physical damage.  The threats are largely
  36. understood and controllable through the use of traditional
  37. controls and contingency planning.  Now, a new class of
  38. software-based threats has become as important to understand
  39. and control; these threats include unauthorized intruders and
  40. users who exploit system vulnerabilities, computer viruses,
  41. network worms, and Trojan horses.  Several factors have
  42. contributed to the growing presence of these threats.
  43.  
  44. Reliance on Computers - Many agencies rely on computers and
  45. networks for communications and accomplishment of work; con-
  46. versely, many agencies would suffer great losses to produc-
  47. tivity should their systems become unavailable.  Due to
  48. system complexity, reliance on computer systems often pres-
  49. ents unanticipated risks and vulnerabilities.
  50.  
  51. Computer Viruses - Computer viruses in particular have caused
  52. a major upheaval in personal computer security.  Some virus
  53. researchers believe that the virus problem is getting worse,
  54. due in part to the proliferation of personal computers (with
  55. minimal built-in security controls), LANs, and a disregard
  56. for safe computing practices.  The number of variants of
  57. viruses has also increased, pushing the total number of
  58. viruses close to one thousand or more.  Some researchers
  59. estimate that the probability of a personal computer user
  60. encountering a virus has increased substantially.
  61.  
  62. Use of Large Networks - Large networks, linking governments,
  63. businesses, and academia, are growing by leaps and bounds. 
  64. Efficient response to computer security incidents is very
  65. important for agencies positioned on large networks, as com-
  66. promise of one computer can affect a significant number of
  67. other systems connected to the network but located in differ-
  68. ent organizations, with resultant legal and financial
  69. ramifications.  Incident response teams note that intruder
  70. attempts to penetrate systems occur daily at numerous sites
  71. throughout the United States, and that many agencies are
  72. often unaware that their systems have been penetrated or used
  73. as springboards for attacks on other systems.
  74.  
  75. How Bad is the Problem? - Computer security incidents appear
  76. regularly in media reports.  In 1988, the Internet Worm
  77. caused shutdowns and denial of service problems for weeks to
  78. over 3000 sites.  In 1989, the NASA WANK (Worms Against Nu-
  79. clear Killers) Worm caused a major loss of availability along
  80. two large government networks, resulting in significant
  81. expense and investigations by the GAO into network manage-
  82. ment and security.  Other incidents include intruders using
  83. international networks to target to U.S. government systems. 
  84. There are also reports of virus-infected software being
  85. shipped by vendors and distributors, and reports of viruses
  86. on LAN servers that spread throughout entire organizations in
  87. minutes.  While publicized incidents tell us that the com-
  88. puter security picture is not good, most computer security
  89. incidents are never reported.
  90.  
  91. The CSIRC Concept
  92.  
  93. Many computer security programs are not effective in dealing
  94. with this newer and less-understood class of threats. 
  95. Traditional responses, such as risk analysis, contingency
  96. planning, and computer security reviews, have not been
  97. sufficient in controlling incidents and preventing signifi-
  98. cant damage.  Stories abound of incidents in which the prob-
  99. lems grow worse or do not go away.  Fearing unknown threats,
  100. some have misguidedly restricted their access to systems and
  101. networks.  Consequently, some organizations spend far too
  102. much time reacting to recurring incidents at costs to conve-
  103. nience and productivity.  What is needed, therefore, is a
  104. fundamentally different form of computer security response
  105. that is capable of quickly detecting and responding to inci-
  106. dents in a manner that is both cost-efficient and effective.
  107.  
  108. A Computer Security Incident Response Capability (CSIRC) is
  109. prepared to detect and react to computer security incidents
  110. in a skilled and efficient manner.  A CSIRC is a combination
  111. of technically skilled people, policies, and techniques that
  112. constitute a proactive approach to handling computer security
  113. incidents.  A CSIRC, with traditional computer security
  114. elements, can provide organization-wide protection from
  115. damaging incidents, saving the organization valuable resourc-
  116. es and permitting it to take better advantage of computer
  117. technology.  Already, a number of agencies and other
  118. institutions have started CSIRC efforts, with good success.
  119.  
  120. Skilled and Efficient Response - Skill and efficiency are the
  121. hallmarks of a CSIRC.  Without a CSIRC, incident response can
  122. be disorganized and ineffective, with much higher expenses
  123. and vulnerabilities still left open and unprotected.  For
  124. example, uneducated responses to small outbreaks of computer
  125. viruses can actually make the problems far worse, resulting
  126. in hundreds of computers being infected by the response team
  127. itself.  A CSIRC will help to manage incident response
  128. expenses that otherwise would be difficult to track, to make
  129. risk assessment more accurate, and to improve user training
  130. and awareness of computer security.  Conversely, an
  131. inefficient incident response effort could perpetuate exist-
  132. ing problems and even make them worse.
  133.  
  134. Centralization and Non-Duplication of Effort - A CSIRC
  135. utilizes centralized means for reporting and handling inci-
  136. dents.  This increases efficiency; however, it also permits
  137. more accurate assessment of incidents, such as whether they
  138. are related (to more quickly avert possible widespread
  139. damage).  By virtue of centralization, CSIRC expenses and
  140. overhead can be held down and duplication of effort can be
  141. reduced or possibly eliminated.  Agencies may find that a
  142. significant cost savings can result.
  143.  
  144. Enhanced User Awareness of Threats - The benefits of a CSIRC
  145. include enhanced user awareness of threats and knowledge of
  146. appropriate controls.  A CSIRC will identify vulnerabilities,
  147. issue computer security alerts, and make contacts with other
  148. computer security groups, all resulting in increased
  149. information that can be made available to the organization
  150. through a variety of mechanisms: electronic bulletin boards,
  151. networks, seminars, and training workshops.  This information
  152. will greatly improve users' ability to manage their systems
  153. efficiently and securely.
  154.  
  155. Building a CSIRC
  156.  
  157. Many computer security programs will not need to build a
  158. CSIRC "from the ground up."  Rather, they may already have a
  159. number of the building blocks necessary, such as help desks,
  160. central hotlines, and personnel with the requisite technical
  161. skills.
  162.  
  163. Constituency - Implicit in the concept of a CSIRC is the
  164. requirement for a constituency, i.e., those users served by
  165. the CSIRC.  In many cases, the constituency will be the
  166. organization itself.  The size and scope of a CSIRC, however,
  167. are directly impacted by the needs and size of the constitu-
  168. ency, including its degree of technical knowledge, the
  169. diversity of technologies, and the sensitivity of the systems
  170. and data.
  171.  
  172. CSIRC Structure - There is no "one" structure for a CSIRC;
  173. depending on an agency's needs and structure, a CSIRC can
  174. take many forms.  A highly centralized CSIRC may represent
  175. the most cost-effective structure; however, some agencies may
  176. find that a more distributed structure, with some inevitable
  177. overlap, will fit in best with existing agency structures. 
  178. Very small agencies and organizations may find it practical
  179. to share a CSIRC with a larger organization.  Hence, a CSIRC
  180. structure will vary depending on many factors.  Centralized
  181. reporting and centralization of effort will help to decrease
  182. operating costs and at the same time improve efficiency and
  183. security.
  184.  
  185. Centralized Reporting - Effective incident response depends
  186. upon the constituency's ability to quickly and conveniently
  187. communicate with the CSIRC.  Effective communications
  188. mechanisms include a central telephone "hotline" monitored on
  189. a 24-hour basis, a central electronic-mail (e-mail) address,
  190. or a pager arrangement.  Users should be encouraged to
  191. contact the CSIRC by making the communications
  192. straightforward (i.e., having to remember only one telephone
  193. number).
  194.  
  195. Alert Mechanisms - The constituency will be best served if
  196. there is also a convenient mechanism for the CSIRC to alert
  197. the constituency.  The CSIRC should be able to quickly reach
  198. all users by sending to a central mailing list or,
  199. alternatively, telephone voice mailbox messages or management
  200. points-of-contact lists.
  201.  
  202. Personnel - CSIRC personnel will need to diagnose or
  203. understand technical problems, thus technical knowledge is a
  204. primary qualification.  Good communications skills are
  205. equally important.  Computer security incidents can foster
  206. emotionally charged situations; hence a skilled communicator
  207. must know how to resolve technical problems without fueling
  208. emotions or adding complications.  In addition, CSIRC
  209. personnel may spend much of their time communicating with
  210. affected users and managers, either directly or by preparing
  211. alert information, bulletins, and other guidance.  It may be
  212. difficult to find personnel who have the correct mix of tech-
  213. nical, communications, and political skills.  
  214.  
  215. Contracting a CSIRC
  216.  
  217. When contracting, agencies should keep in mind that numerous
  218. sensitive issues can arise from incident handling; these
  219. issues will be very important to consider in any contractual
  220. agreement.  Because a CSIRC may play a large role in
  221. determining computer security policy, agencies may find it
  222. advantageous to contract certain tasks associated with a
  223. CSIRC as opposed to contracting the entire CSIRC operation.
  224.  
  225. Agencies should expect that increased communications and
  226. oversight will be necessary when contracting any part of a
  227. CSIRC and that some incident response expertise will have to
  228. be developed in-house for this purpose.  The agency and
  229. contractor will need to coordinate closely on many issues,
  230. including dealings with the media, vendors, legal and
  231. investigative matters, and dealings with outside groups
  232. (especially if involved in a mutual incident).  The sensi-
  233. tivity of data or operations may require contractor person-
  234. nel to get security clearances; handling classified informa-
  235. tion by contractors may require increased oversight.
  236.  
  237. Importance of Traditional Computer Security
  238. Functions
  239.  
  240. An incident response capability does not do away with the
  241. need for effective risk analysis, physical security, and
  242. other standard components of a computer security program. 
  243. Simple errors and omissions may still remain the primary
  244. threat to computer security, along with other physical and
  245. environmental threats; they should not be ignored or
  246. downplayed in light of the attention often given to viruses
  247. and related threats.  A strong risk analysis program remains
  248. highly important for identifying the complete set of threats,
  249. vulnerabilities, and controls; the logs and statistics
  250. gathered by a CSIRC will help to make subsequent risk
  251. analyses more precise and useful.  Computer security reviews
  252. are still a preferred method for improving the security
  253. program, of which a CSIRC is just one component.
  254.  
  255. Cooperation Among CSIRCs
  256.  
  257. System intruders, viruses, and similar threats do not respect
  258. organizational boundaries.  It follows, then, that
  259. cooperation among CSIRCs can be valuable for learning about
  260. current threats, sharing incident response-related
  261. information, and resolving incidents.  Additionally,
  262. cooperating CSIRCs may be able to assist each other in
  263. situations where one CSIRC possesses certain technical skills
  264. that another CSIRC lacks.
  265.  
  266. The Forum of Incident Response and Security Teams - The Forum
  267. of Incident Response and Security Teams (FIRST) is a group of
  268. incident response teams whose members work together
  269. voluntarily to deal with computer security problems and their
  270. prevention.  The objective of FIRST is to further
  271. communications among CSIRCs and to foster increased
  272. participation in incident response-related activities.
  273.  
  274. There are two types of participation in the forum.  Forum
  275. Members, i.e., incident response teams, assist a defined
  276. constituency in preventing and handling computer security-
  277. related incidents.  Liaisons are individuals or
  278. representatives of organizations other than emergency
  279. response teams that have a legitimate interest in and value
  280. to the forum.  Several U.S. agencies participate, as well as
  281. industry and academia.
  282.  
  283. NIST Special Publication 800-3
  284.  
  285. NIST Special Publication (SP) 800-3, Establishing a Computer
  286. Security Incident Response Capability (CSIRC), provides more
  287. information on issues in establishing and operating a CSIRC,
  288. including an annotated bibliography of incident response-
  289. related documents.  This guide can be obtained from the
  290. Government Printing Office (GPO), Washington, DC 20402, GPO
  291. Stock Number SN003-003-03121-6, for $3.00.  
  292.  
  293. An electronic version of SP 800-3 in PostScript format can be
  294. obtained from our Computer Security BBS or via the Internet
  295. using ftp or e-mail.  Information about FIRST is also
  296. available, including membership information, operational
  297. procedures, and incident response team contact information.
  298.  
  299. To contact the BBS, dial 301-948-5717 for 2400 BPS (301-948-
  300. 5140 for 9600 BPS).  The filename for SP 800-3 is 800-3.ps -
  301. several files are also available concerning FIRST.  The ftp
  302. address is csrc.nist.gov, with filename pub/pubs/800-3.ps and
  303. the files in directory pub/first.  To obtain the files, send
  304. the following e-mail message to docserver@csrc.nist.gov:
  305.       send INDEX
  306.       send 800-3.ps
  307. An index of available files plus a copy of SP 800-3 will be
  308. sent to you in e-mail messages.
  309.  
  310. For more information about NIST's ongoing work in incident
  311. response activities, contact John Wack, Computer Security
  312. Division, Room A-216, Technology Building, National Institute
  313. of Standards and Technology, Gaithersburg, MD 20899. 
  314. Telephone: 301-975-3411 (FTS 879-3411); e-mail:
  315. csrc@csrc.nist.gov.
  316.