home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / grip / grip-minutes-95dec.txt

< prev

next >

Wrap

Text File  |  1996-06-03  |  14KB  |  301 lines

---

1. CURRENT MEETING REPORT
2.  
3. Reported by Erik Guttman and Barbara Fraser
4.  
5. Minutes of the G and R for Security Incident Processing (GRIP)
6.  
7. List is at grip-wg@uu.net 
8. request at grip-wg-request@uu.net 
9. Archives   ftp.cert.dfn.de 
10.  
11. The GRIP working group met once during this IETF.  The agenda for the 
12. meeting was the following:
13.  
14.     Find a volunteer note taker - Erik Guttman was wonderful to 
15.                               volunteer
16.     Review the current Internet Draft
17.     Develop outline for the vendor document
18.  
19. The group spent the first 15 minutes or so discussing the audience for
20. the document.  The goal is to provide a document that accomplishes
21. several things:
22.     - sets community expectations for a security incident response team
23.     - provides a description of what it means to be a response team
24.     - provide a template to facilitate the definition of any given
25.       response team.
26.  
27. So, the audience is primarily response teams even though members of the
28. Internet community will also find it useful.  The descriptions in the
29. document should help set a constituent's/customer's expectations of the
30. team.  This document discusses all the many aspects of incident response
31. that need to be defined. Therefore, a constituent/customer should be 
32. able to read a team's template and discover what to expect, for example,
33. in such areas as privacy and confidentiality of information, and if the
34. response team will be contacting downstream sites.
35.  
36. In terms of expectations, the discussion was in terms of "what should
37. I expect of my own IRT?" and how does this differ from what I expect from
38. other organizations and groups.  The basic philosophy will have to be
39. "If you tell us things (in the filled out template), we will expect you
40. to follow through with what was stated.
41.  
42. Another point that was brought up about follow-through was that users should 
43. be encouraged by their IRT to report incidents so that appropriate actions  
44. can be taken.  Without active participation (ie. reporting) from users, IRTs  
45. can't do much good.  Thus, the users need to know how and when to report. 
46. There was considerable discussion about the definition of an incident.
47. Another way of stating this is what should users be trained to do? 
48.  
49. In a review of Section 4.4 it was asked if we should continue to keep the
50. document OS neutral. Folks agreed but decided that it would be helpful
51. to provide examples when needed for clarification.  For example "root 
52. compromise" and  "writable FTP area" when distinguishing between types
53. of violations.  These examples are rathery UNIX specific.  There was no
54. clear resolution on this, but we agreed to keep the OS neutrality in mind
55. whenever possible.
56.  
57. The difference between inappropriate disclosure and unauthorized use got  
58. discussed:  The two categories entail different loss of confidentiality.   
59. Inappropriate disclosure would be to grab stuff and make it more visible 
60. than originally intended.   Text is needed to bring out the differences.
61. The disclosure issue is further complicated by the fact that disclosure  
62. could be intentional or unintentional.   
63.  
64. There was some discussion as to whether the document should discuss what 
65. is out of the scope of an IRT?  It was decided that it is easier to say 
66. things are definitely in the scope/charter of an IRT. 
67.  
68. It is important to define what the IRT considers worth their involvement, 
69. or at least to put bounds on what they consider to be an incident.  A  
70. VULNERABILITY is important to know about and an IRT *may* provide analysis  
71. of the vulnerability.  On the other hand it may only do this if the  
72. vulnerability was discovered during a security breach, etc.  It was
73. reaffirmed that vulnerability analysis isn't required of IRTs but the
74. analysis of vulnerabilities which do not occur within the framework of 
75. an incident may or may not be a service provided by IRTs. 
76.  
77. Examples include pc viruses and malicious programs.  These are not really  
78. an incident on 1 or 2 machines.  But if they are brought in deliberately 
79. they can become full scale incidents.  If merely an accident, generally no. 
80. But, the decision is ultimately with the IRT.
81.  
82. Some IRTs handle all virus cases, etc.  This seemed to be the case in  
83. private IRT set ups (within one corporation.) Others, like the CERT
84. Coordination Center have traditionally not handled viruses.
85.  
86. There was discussion about nailing down the expectations questions: 
87. - What response level can we expect from the team, what will not be dropped? 
88. - What kind of response can we expect? 
89. - How should one report?  (This is perhaps handled in the SSH user doc) 
90. - Notification (of up/downstream sites, press, government) 
91. - What is the default reporting a constituency can expect, what exceptions 
92.     are there? 
93. - How and when should I, as a member of an IRT's constituency, report an 
94.     incident? 
95.  
96. * NOTE:  Corporate network and physical security should be coordinated.  An 
97. IRT may be called when a computer is physically taken/broken into, the 
98. watchmen may be called due to a computer security intrusion. 
99.  
100. While we aren't providing an end-user's document we do need to grapple
101. with the work that an IRT does as well as it's interface to the outside.
102. One person suggested we could look at it as different management:
103. managing inward and outward.
104.  - manage the inward vs. outward sides of incident handling 
105.  - start on the inward side:  Want it to be clear exactly where to go if 
106.    there is a (suspected) incident 
107.  - each topic can be seen from either or both sides.  Ask "Is this an 
108.    inward or outward issue?" 
109.  
110. Lots of the discussion focused on the differences between commercial
111. incident response and incident response defined by a particular entity.
112. There were member of the working group from both categories and the 
113. discussion was interesting.  For example, if the policy is clear 
114. (as in a corporate case) it should not be necessary to think.  You should 
115. CONTACT SO AND SO as your whole range of choices.  This is harder when it 
116. comes to commercial enterprises like Internet service providers, 
117. value-added service providers, and commercial IRTs. 
118.  
119. It seems the outward side comes down to: 
120.  - "As a user you should read this and that policy document.  This will 
121.     make clear what we will provide you with and what you need to deal 
122.     with on your own." 
123.  
124. * The document must be clear(er) about what effects the user community  
125.     vs. what is addressed directly to the user community 
126.  
127. Upshot to consituents is:  READ YOUR FILLED IN IRT TEMPLATE AND "DO THAT 
128. FIRST".
129.  
130. IRTs *can* set up a policy which says:  If you have ignored my advice, my 
131. future commitment may be limited. 
132.  
133. It was also restated that many IRTs have no prosecuting authority to 
134. get people to follow advice when they give it. 
135.  
136. * Defining what constituencies are is out of the scope of the RFC, it 
137.     will be done by the IRT or corporate policy in a very individual 
138.     way. 
139.  
140. Then there was discussion about what we should include concerning the
141. question:   How do you find your IRT? 
142. - ask your ISP 
143. - ask an IT security officer [? I don't know what this means] 
144. - put hints into the User SSH  
145.  
146. Note: IRTs have a responsibility to advertise themselves to users/IRTs 
147. Dissemination of info about IRTs:  First my constituents then outward. 
148. Since there is a trust issue (is this really an IRT?) it makes sense 
149. to send information out in a 'tree' like manner, using trust along the 
150. way of the direct source of info.  It was mentioned that the trust
151. model for IRTs is the same as that for PGP, a web of trust. The most
152. challeging piece is to fine the first entity that you truly trust.
153.  
154. The info about IRTs and IR techniques needs to be in the hands of tech 
155. support, as they will be faced with incidents on the front lines. 
156.  
157. Most important is that IRTs publish to their constituencies.  This is  
158. really according to a "push model," as they will not be in a position 
159. to really ask until it is too late. 
160.  
161. There was discussion about a central repository, but the bottom line is
162. that the IRT in question needs to make it's information available.
163. First, it should publish its template on its own information server.
164. Everyone also acknowledged that the FIRST repository is a good thing,
165. but that there may be teams that aren't members of FIRST so we can't
166. count on that 100%.  We might point folks to the FIRST archives, their
167. Internet service provider, and other known response centers.  One of the 
168. primary jobs an IRT must succeed in is making upstream sites aware of 
169. how to contact them. 
170.  
171. International audience:  The IRTs and users of the template should/must 
172. work sensitively to local laws and regulations. 
173.  
174. * It is probably important to clarify any local regulations which will  
175. effect the primary operation of the IRT to those who may have 
176. very different expectations in different countries, etc. 
177.  
178. * It is very possible that a team will want to have internal and 
179. external versions of their policy.  One may be for corporate use only 
180. on the one hand, and the other for general consumption/cooperation guidelines 
181. on the other.
182.  
183. Getting back to knowing who the response teams are brought out some
184. further discussion.  We decided that we would provide a list of the
185. current IRTs in the document as a starting point, along with a pointer
186. to first.org.
187.  
188. In general the idea of a central repository presents some challenges.
189. The repository may be  very difficult to keep current and to keep filled 
190. with accurate information.  (Bad guys can create 'IRT' facades, etc.) 
191.  
192. Who will 'vet' the response teams/classify them officially?  Note this is 
193. a very sticky area that will have liability issues associated with it, as 
194. business will claim to be able to do this.  Who will have the right or  
195. claim to have the right to deny them?   There was even discussion as to
196. whether someone could go to an investigative agency in their country to
197. see if a particular team was legitimate.  May be valuable to enlist the 
198. aid of a national (law enforcement) agency to maintain a list of contacts 
199. and act as a clearing house. Right now, the list of members in FIRST is 
200. a good start, but some mentioned that there will inevitably
201. be IRTs that are really just an individual who has contracted with some
202. organizations to provide incident response services. So, we need to be
203. sensitive to future needs.
204.  
205. There was some discussion concerning categories of vulnerabilities, and 
206. one member of the group suggested there are 3 general kinds:
207. - vendor/os vulnerability 
208. - those used from a local host targeted at another site 1:1 or thereabouts 
209. - those used internally, internal matter in an organization. 
210.  
211. The first may or may not be an incident.  It will be if it was exploited. 
212. Otherwise it falls into the category of a vulnerability.  If it is wide- 
213. spread in consequences it should be dealt with.  
214.  
215. If it is a 1:1 or 1:many incident you deal with them and or their IRT, as 
216. well as local law enforcement since there may be a concern for liabilities
217. if you don't and the downstream sites find out later. 
218.  
219. If it is an internal compromise, it should be dealt with internal security 
220. mechanisms in place. 
221.  
222. Commercial response teams will broaden the field of who should be tracked. 
223.  
224. The quality of sources may not be all good or bad, there is a gray area. 
225.  
226. Teams have the template to  
227. - give to constituencies (private part) 
228. - give to public (public part) 
229.  
230. * Idea: use a 'keytag' to classify the document so that yahoo/infoseek/etc 
231. info directory scans will make them available to the network community. 
232. The search engines out there will help the incident sufferer.  Alternatively 
233. the list at FIRST should be on the web... 
234.  
235. * There was some discussion as to whether to change the title to 
236. "Expectations for Internet Security Incident Response" . We'll decide
237. on the list.
238.  
239. The following were some specific edits:
240. - intro: add "dealing with internet but concepts apply to closed nets." 
241.          add "formulate expectations" 
242. - S 1.1: rename Template Repository to Central Repository 
243. - pg 4 : "distribution of template updates" tell you where to get new 
244.      templates 
245. - S 3, pg 5:     
246.          primary purpose:  set expectations of constituents & customers 
247.          
248.          "A second document...vendors to help them with security incidents" 
249.          Actually it is much broader than that: should we really have this 
250.          pointer here? 
251. - S 4.2, pg 6: 
252.          "Partner Team" what is this?  Omit it. 
253. - S 4.3: Goes away 
254. - S 4.4: Incident should be Incident Response 
255.  
256. --------------------------------------------------------------------------- 
257.  
258. At this point in time, the time alotted to the working group session was
259. about over and we didn't have time to do any real work on the second
260. document.  The following are some comments on the outline.
261.  
262. - The outline can be thought of as the consumers life cycle of relationship 
263.     with a vendor vis-a-vis possible security issues. 
264.  
265. - OPTIONAL COMPONENTS section comments 
266.     - features like NIS and NIS+ which you may use, make it very clear 
267.       what known security problems will be taken on if they are turned 
268.       on. 
269.  
270. - INSTALLATION section comments 
271.     - make it very clear what you have to do right away before the 
272.       system is really usable (change certain passwords for example) 
273.     - eliminate guest/no password accounts 
274.     [isn't this section really DEFAULT CONFIGURATION by another name?] 
275.  
276. - Most of the discussion was on the DEFAULT CONFIGURATION 
277.     - security features need a lot of attention 
278.     - x is a 'good idea', y is a 'bad idea' notes are useful 
279.     - be clear this is not unix based nor is it a 'security engineering 
280.       handbook' 
281.     - [the fellow from TI's IRT asked] should group passwords even be 
282.       turned on? 
283.     - how to disable promiscuous internet connections and make it hard 
284.       for users to get access to such facilities. 
285.     - do not use cleartext passwords on the wire if at all possible 
286.     - no trust should be the default 
287.     - GET MORE IDEAS FROM THE MAILING LIST 
288.  
289. Next Steps:
290.  
291. 1. Nevil will create a new draft by mid-January for everyone to review
292. before the March meeting.  We hope to have a stable document by then so
293. that only small editorial changes will be needed before we can advance it.
294.  
295. 2. We'll discuss the vendor document on the list. We are working on
296. selecting the document editor(s) for that document.
297.  
298. 3. We are planning two sessions in Los Angeles, 1 to complete the IRT document,
299. and a second one to work on the vendor document.
300.  
301.