home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / ietf / grip / grip-minutes-97aug.txt < prev   
Text File  |  1997-10-10  |  8KB  |  183 lines
  1. Guidelines and Recommendations for Incident Processing (GRIP)
  2.  
  3. Prepared by Barbara Fraser and Klaus-Peter Kossakowski 
  4.  
  5. The GRIP working group met once during the Munich IETF. The following
  6. agenda was used. 
  7.  
  8.  
  9. Agenda
  10. ======
  11.  
  12.  o Discussing recent draft 
  13.  o Discussing outline of vendor document 
  14.  o Discussing outline of ISP document 
  15.  o Schedule and Actions 
  16.  
  17. Expectations for CSIR
  18. =====================
  19.  
  20. It was suggested by  the chairs, that the title and  use of SIRT throughout
  21. of  the text  will  be changed.  Within the  last  year, Computer  Security
  22. Incident Response Team (CSIRT) is becoming the standard. The group agreed.
  23.  
  24. One person (from  a vendor organization) pointed out that  there is no text
  25. expressing  the  expectations the  vendor  community  has with  regards  to
  26. CSIRTs. Suggestion was that it doesn't fit into the document with the scope
  27. on the broad  user community. It can be handled  within the upcoming vendor
  28. document.
  29.  
  30. In section  1 (page  3, 3rd  paragraph) the last  sentence is  misleads the
  31. reader into expecting  that he will find lists of  many examples within the
  32. document. We will remove the sentence.
  33.  
  34. The heading of  section 2 is now  "Scope" but this is not  the objective of
  35. this  section any  longer as  it gives  an overview  about three  different
  36. areas.  The group  decided to  ask for  ideas on  the list  and tasked  the
  37. editors to fix it.
  38.  
  39. When discussing 2.2  the notion of tracking numbers came  up. Bill Woodcock
  40. agreed  to send  some text  to the  list that  might fit  under the  Triage
  41. function where more technical details are handled.
  42.  
  43. In 3.3.2 more examples for defining  the constituency should be given. Bill
  44. will send some text.
  45.  
  46. In 3.4.2  the text about vendors  (page 13) needs some  clarifications. Not
  47. only does the text  suggest that only vendors with an  IRT are "large", but
  48. the interaction between other IRTs and  vendors is not clear. It also jumps
  49. to  vulnerability handling  instead of  covering the  actions necessary  to
  50. assist in the response to an incident.
  51.  
  52. The  section 3.4.3  isn't  strong enough  to address  the  need for  secure
  53. communication and authenticity. The "should"  in the first sentence will be
  54. changed  to  "must". Additionally  it  will  be included  that  appropriate
  55. policies must be  established too. (Erik suggested one  sentence to address
  56. both problems and will fix it.)
  57.  
  58. In 3.5.1,its subsections, and Appendix D  the word "cure" should be changed
  59. to "resolution".
  60.  
  61. It was pointed out that the living example in Appendix E wasn't adjusted to
  62. the  new  outline  of  Incident Response  Services  (Triage,  Coordination,
  63. Resolution). This will be fixed.
  64.  
  65. In  Appendix  E  the  example  included  an  erroneous  statement  for  3.3
  66. Affiliation and Sponsorship, since FIRST  membership is interesting but not
  67. what  we meant.  Text from  3.4 could  be used,  but there  should be  some
  68. reporting requirements also included.
  69.  
  70. Barbara will  check on the appropriate  use of the CERT  Incident Reporting
  71. Form to see  if it is okay -  even for a commercial IRT -  to point towards
  72. it. If not, it should be mentioned within the document.
  73.  
  74. Discussing the outline for the vendor document
  75. ==============================================
  76.  
  77. Before discussion started, the question for volunteers to edit the document
  78. was raised by the chairs. Barbara will talk to anyone interested in being a
  79. document author.
  80.  
  81. First question  was about  the audience  for this document  and why  it was
  82. bounded to the vendor community. Barbara explained the relation to the Site
  83. Security Handbook work and answered the question.
  84.  
  85. Some  other folk  pointed out  that the  OpenGroup document  about Baseline
  86. protection (ABSS) should be read and referenced. URL is xxx
  87.  
  88. Another issues brought  up was the scope of the  product. As products might
  89. be developed  for a  specific environment,  and the  product might  be used
  90. within  a different  environment,  the security  might  be very  different.
  91. Boundaries should be given and the documentation should explain, what ports
  92. are used or  what files are accessed. The security  level by default should
  93. be  documented. This  whole topic  will fit  into section  G Documentation.
  94. Andreas Siegert will send some text about it.
  95.  
  96. Within the scope/purpose section, it must  be defined what kind of products
  97. we are addressing  (do we want to  handle cables?). To help  the reader, it
  98. would  be easier  to  address  classes of  products  which  share the  same
  99. characteristics.
  100.  
  101. Computer virus  checking should be added  to the section A.  Discussion was
  102. about  the "must"  for  the  out of  band  verification  mechanism for  the
  103. signatures. There might be total different  kind of mechanisms used for the
  104. protection of the  customer, so different classes might come  in handy here
  105. again.
  106.  
  107. As  packaging  can be  carried  out  by other  parties  (on  behalf of  the
  108. producer) different responsibilities might  arise. This should be addressed
  109. somehow.  Even  worse, their  actions  might  impact the  authenticity  and
  110. security of the product and might change the provided checksums.
  111.  
  112. Going  on to  section B  a question  was  asked as  to how  to address  the
  113. security quality of default configurations. What about vendors distributing
  114. an  unsecure  setup  after  a  bug  was  published  on  the  net?  Security
  115. Engineering is  beyond this document  and there is  an effort under  way to
  116. address such issues.
  117.  
  118. New input  was added to advise  vendors to give version  numbers within the
  119. documentation about products used. As the vendor is not responsible for the
  120. content of additional third party programs he is providing, it is even more
  121. important to know which programs are not covered by the vendor. It would be
  122. even beneficial to  the vendor, as the reporting of  problems would be more
  123. specific. This should be covered within section C.
  124.  
  125. Whenever there  are choices between  security and insecurity,  the security
  126. version should be used by default. However,  it has to be a decision of the
  127. user.  There was  no resolution  during the  meeting, the  group need  some
  128. examples to list.
  129.  
  130. Customer must  be made aware  about the problem of  default configurations.
  131. systems, This was supported since users  tend not to read documentation and
  132. would therefore  be provided  with guidance  up front as  to how  to change
  133. default  settings to  improve security.  Ideally, this  will encourage  the
  134. vendor to avoid such weak default configurations in the first place.
  135.  
  136. There has  also been a problem  with knowing the exact  release version for
  137. products. Sometimes the vendor will make security changes but not increment
  138. the release  version. The  group felt  that vendors  should be  required to
  139. provide unique version numbers for any changes.
  140.  
  141. For section  D, people would  like to see  a frozen configuration  to avoid
  142. future problems later on.
  143.  
  144. In section E,  a question was asked  if we expect the security  fixes to be
  145. free. It was  clear, that it is a contractual  agreement. Media cost should
  146. be reasonable and  it is expected that  only the owner of  the product (not
  147. anyone) will receive the patches/fixes.
  148.  
  149. Section H actually deals mostly with security engineering and hence much of
  150. it may be removed or modified.
  151.  
  152. All in attendance  felt the document should be written  and volunteers were
  153. encouraged to contact Barbara directly (byf@cert.org).
  154.  
  155. Discussing of ISP document
  156. ==========================
  157.  
  158. Only two or three of the participants  have read the outline sent around by
  159. Nevil Brownlee  on the list. Barbara  briefly explained the history  of the
  160. document.
  161.  
  162. The outline  will be made available  on the GRIP  WWW pages by the  15th of
  163. August as:
  164.  
  165.  http://www.cert.dfn.de/eng/resource/ietf/grip/isp-out.txt 
  166.  
  167. Tom Killalea will submit a first draft in October. 
  168.  
  169. Schedule and Actions
  170. ====================
  171.  
  172. 31. August 1997: 
  173.    New draft of IRT document 
  174. 16. September 1997: 
  175.    Last call to working group ends, thereafter submit to IESG thereafter 
  176. 15. October 1997: 
  177.    First draft of ISP document 
  178. 25. November 1997: 
  179.    First draft of Vendor document 
  180.  
  181. Barbara will take an action item to update the mailing list with the new participants. 
  182.  
  183.