[Owasp-germany] Emergency Cheat Sheet

Guenther, Stefan Stefan.Guenther at hermes-europe.eu
Tue Feb 4 09:57:59 UTC 2014


moin liste,

ein spickzettel mit akuten handlungsanweisungen bei servereinbrüchen wird daran scheitern, dass es solche und solche server/webaplications gibt.
hier sollte man sich die spezielle anwendung anschauen und für sich entscheiden, welche schutzlevel für integrität von daten und anwendung - aber auch für die betriebssicherheit und die verfügbarkeit des geschäftsprozesses - gelten. Den kompromiterten server oder das beeinträchtigte netzsegment abzukoppeln, kann da eine lösung sein, muss es aber nicht um jeden preis.

das ganze geht dann recht schnell ins incidentmanagement und busines-continuity-management rein und muss formal betrachtet werden. beim sichern von beweisen kann auch viel falsch gemacht werden; ob es in den meisten fällen für die analyse der root cause oder nach geschaltete ermittelungen überhaupt notwendig/gewollt ist, sei dahin gestellt.

stefan



--
Stefan Günther
IT Security Manager
IT Europe

Hermes Europe GmbH
Essener Str. 89
D-22419 Hamburg



> -----Ursprüngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany- 
> bounces at lists.owasp.org] Im Auftrag von Buchholz-Stepputtis, Kai
> Gesendet: Dienstag, 4. Februar 2014 10:24
> An: OWASP Germany
> Betreff: Re: [Owasp-germany] Emergency Cheat Sheet
> 
> Vielleicht nicht ganz passend (da nicht speziell auf Servereinbruch 
> o.ä. gemünzt... ;-)
> 
> Aber wenns allgemein um den Aspekt geht, ggf. strafrechtliche 
> Ermittlungen einleiten zu wollen, finde ich dieses Papier vom BKA gar 
> nicht so schlecht
> 
> https://www.bka.de/nn_238144/SharedDocs/Downloads/DE/ThemenABisZ/Inter
> net Kriminalitaet/handlungsempfehlungenWirtschaft.html
> 
> Mit freundlichen Grüßen
> Kai.
> 
> 
> --
> 
> Dr. Kai Buchholz-Stepputtis
> Leitung Information Security Consulting & Research
> 
> Commerzbank AG
> Group Organisation & Security
> Information Security Consulting & Research
> 
> Postanschrift: 60261 Frankfurt am Main
> Geschäftsräume: Hafenstrasse 51, 60327 Frankfurt am Main
> Tel.:   +49 (0)69 136 25135
> Fax:   +49 (0)69 136 22922
> Mobil: +49 (0)172 6603809
> Mail: kai.buchholz-stepputtis at commerzbank.com
> 
> Commerzbank AG, Frankfurt am Main, http://www.commerzbank.de 
> Pflichtangaben http://www.commerzbank.de/pflichtangaben
> 
> 
> -----Ursprüngliche Nachricht-----
> Von: owasp-germany-bounces at lists.owasp.org [mailto:owasp-germany- 
> bounces at lists.owasp.org] Im Auftrag von Stefan Pantke
> Gesendet: Dienstag, 4. Februar 2014 01:10
> An: OWASP Germany
> Betreff: Re: [Owasp-germany] Emergency Cheat Sheet
> 
> Hallo arnim,
> 
> ja, korrekt.
> 
> Eigentlich suchte ich auch nur ein OWASP Papier, da ich in einem Forum 
> einige Hinweise zu so einer Situation gab. Baue dort schön regelmäßig 
> Referenzen auf OWASP rein ;-)
> 
> Ja, wirklich WebApp spezifisch würde es nicht sein.
> 
> Könnte aber das Angebot komplettieren: Anwender, der technische cheat 
> sheets sucht, könnte dann auch . finden.
> 
> 
> Grüße
> 
> S
> 
> Am 03.02.2014 um 14:46 schrieb arnim.rupp at lhsystems.com:
> 
> > hallo,
> >
> > solche handlungsempfehlungen gibt es reichlich aber mir fällt 
> > eigentlich nichts ein,
> was man da web-spezifisch tun könnte, das ein eigenes dokument von 
> owasp rechtfertigen könnte. große webdiensten schalten vielleicht von 
> dynamischem auf statisches HTML, um eine weitere ausnutzung zu 
> verhindern bis das problem gefixt ist. aber sobald der angreifer z.b. 
> eine webshell hat verläßt er damit ja auch technisch schon den bereich, den owasp normalerweise abdeckt.
> >
> > tschö
> > arnim
> >
> >
> >
> > -----Ursprüngliche Nachricht-----
> > Von: owasp-germany-bounces at lists.owasp.org
> > [mailto:owasp-germany-bounces at lists.owasp.org] Im Auftrag von Stefan 
> > Pantke
> > Gesendet: Sonntag, 2. Februar 2014 03:50
> > An: OWASP Germany
> > Betreff: [Owasp-germany] Emergency Cheat Sheet
> >
> > Hallo,
> >
> > gibt es von OWASP eigentlich ein Cheat Sheet, das beschreibt, was 
> > man im Fall
> eine Einbruchs in eine WebApp oder einen Server in welcher Reihenfolge tun sollte?
> >
> > Mit ist klar, dass ein solches Cheat Sheet keine Lösung für einen 
> > solchen Fall
> beschreiben kann.
> >
> > Ich denke mehr an allgemeine  Handlungsempfehlungen, was man auf 
> > jeden Fall
> tun sollte:
> >
> > - Server vom Netz und Beweise sichern.
> > - Trauen Sie ihrem System nicht mehr.
> >
> >
> > Grüße
> >
> > S
> > _______________________________________________
> > Owasp-germany mailing list
> > Owasp-germany at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-germany
> 
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany
> _______________________________________________
> Owasp-germany mailing list
> Owasp-germany at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-germany

**************************************************
Find out more about Hermes, the leading expert 
for integrated solutions along the supply chain 
and a partner for national and international 
trading companies on www.hermesworld.com.
**************************************************

Hermes Europe GmbH * 
Essener Strasse 89 * D-22419 Hamburg * 
AG Hamburg HRB 110035 * 
VAT ID. No.: DE 265 893 565 * 
Managing Directors: Hanjo Schneider (CEO), 
Marc Dessing, Frank Iden, Frank Rausch, 
Dieter Urbanke, Carole Woodhead



More information about the Owasp-germany mailing list