Presentation laddar. Vänta.

Presentation laddar. Vänta.

Förvaltningsledning Mål och handlingsplan ITT 2008 1 2007-11-22 DOWNADUP.Cm.

Liknande presentationer


En presentation över ämnet: "Förvaltningsledning Mål och handlingsplan ITT 2008 1 2007-11-22 DOWNADUP.Cm."— Presentationens avskrift:

1 Förvaltningsledning Mål och handlingsplan ITT DOWNADUP.Cm

2 Förvaltningsledning Mål och handlingsplan ITT Agenda Presentation av mig själv tekniska infrastrukturen och nyckeltal Virusdagbok (händelselogg) Detta gör downadup Frågor

3 Förvaltningsledning Mål och handlingsplan ITT Axel Tonning RSIT Enhetschef för regional drift Primärt uppdrag att leverera infrastrukturdrift till alla regionens förvaltningar Bakgrund som teamchef för nätverk kommunikation och säkerhetsprodukter såsom brandväggar, IDS, web-filter osv

4 Förvaltningsledning Mål och handlingsplan ITT Ansvar och roller inom säkerhet Människan Rutiner Teknik Skapa medvetenhet Utbildning Fördjupning Hot- och Riskanalys Policy Riktlinjer Katastrofplan Brandvägg VPN Viruskontroll Autenticering

5 Förvaltningsledning Mål och handlingsplan ITT Nyckeltal- siffror Region Skåne har anställda och RSIT förvaltningen som servar dessa användare består av drygt 200 medarbetare Vi har drygt PC och tunna klienter Vi har ca 800 servrar, både fysiska och virtuella med varierande hård och mjukvara. Merparten består av Windows servrar på Intelplattform, men även Linux och Unix på både Intel och mainframe finns representerat. De flesta förekommande databaser driftas men huvuddelen inriktad mot MSSQL 4 Citrixfarmar med totalt 150 bladservrar windowsterminaler Planering för konsolidering till ett fåtal större databashotell är påbörjad liksom planering för att flytta från 10 serverhallar

6 Förvaltningsledning Mål och handlingsplan ITT Tekniskinfrastruktur

7 Förvaltningsledning Mål och handlingsplan ITT Teknisk infrastruktur Teknik Infrastrukturen som knyter samman huvudnoderna i stamnätet är baserad på SDH teknik. Stamnäts tjänsten överlämnas på respektive nod via dubblerade optiska Gigabit Ethernet interface. Olika typer av logiska trafikflöden transporteras i SkåNet och för framtiden finns många olika möjligheter att prioritera dessa olika trafiktyper för att alltid kunna använda den totalt tillgängliga bandbredden på ett optimalt sätt. Kapacitet Samtliga tio sjukhus, samt Knutpunkten i Malmö och Skånehuset ansluts från start med 1 Gbit/s till det gemensamma stamnätet. Denna kapacitet är den som gäller från start och det är denna bandbredd man delar på i ringarna mellan stamnät noderna. Skulle det uppstå behov av mer kapacitet går det att uppgradera hela stamnätet till 1 Gbit/s. Mindre enheter som vårdcentraler och tandvårdskliniker ca (260 st) ansluts med olika tjänster beroende på behov av hastighet och tillgänglighet.

8 Förvaltningsledning Mål och handlingsplan ITT Extern åtkomst

9 Förvaltningsledning Mål och handlingsplan ITT Vad gör en brandvägg i förhållande till virusskydd? Innehålls säkerhet = Tullen ”Vad” kommer eller går ? Access säkerhet = Passkontrollen ”Vem” kommer eller går

10 Förvaltningsledning Mål och handlingsplan ITT Händelselogg

11 Förvaltningsledning Mål och handlingsplan ITT Söndagen den 4 januari Servertekniker i beredskap upptäcker att det görs flera misslyckade inloggningsförsök mot vårt AD. Eftersom fel lösenord används 5 gånger låses kontona automatiskt. Under kvällen/natten ser man att detta eskalerar och spårar de klientPC varifrån inloggningsförsöken kommer. Eftersom det visar sig vara flera PC, som inte har någon logisk anknytning till kontona de försöker logga in på, misstänker man att det kan röra sig om ett virus trotts att vårt virusskydd inte reagerat lägger man ut information om problemen på RSIT’s driftinformations sida. För att försöka spåra källan kallas teknikerna i Team 2 (Patch, Antivirus) och Team 4 (AD) in

12 Förvaltningsledning Mål och handlingsplan ITT Måndagen den 5 januari En katastrofgrupp sätts samman. Det visar sig att vårt virusskydd från F-secure inte kan hitta något virus trotts att det är uppdaterat med de senaste virusdefinitionsfilerna. Trotts detta är man nu helt säkra på att detta är en virusattack och kontaktar utvecklingsavdelningarna hos F-secure i Finland och USA för att få hjälp. Under förmiddagen ökar lasten på vår brandvägg kraftigt och vi tar kontakt med bl.a vår nät leverantör Tele2 för att få hjälp med att minska lasten. Under måndagseftermiddagen började vi stänga ner klienter som vi såg försökte smitta vidare ut mot Internet via tcp/445. Vi stängde ner runt 150 klienter, i mestadels Lund. Framåt kvällen var lasten så pass stor att alla tjänster i knutpunkten blev långsamma/otillgängliga och ett filter infördes som stoppade all trafik på ovan nämnda port. En av våra tekniker får information från en av våra konsulter om att de också drabbats av virus och dagen innan gått ut med en intern global virusvarning och gjort ”lockdown” av sin infrastruktur för att förhindra spridning. De använder McAfee som virusskydd och viruset identifieras som w32/conflicker (samma virus som vårt men annat namn).

13 Förvaltningsledning Mål och handlingsplan ITT Målbild i katastrofgruppen 1.Identifiering (detektering) 2.Förhindra smitta/återsmitta (isolering) 3.rensa virus (terminering) Allt med minsta möjliga påverkan på produktion

14 Förvaltningsledning Mål och handlingsplan ITT Tisdagen den 6 januari (trettondagen) Katastrofgruppen har nu en bra bild över hur viruset verkar och kan tillsammans med F-secure identifiera det. Det visar sig att Viruset är tidigare okänt och att det är därför antivirusprogrammet inte fångat det. Viruset identifieras som W32/Downadup.CM och använder flera olika metoder för att sprida sig Nya uppdateringar av antivirusprogrammet testas för att säkert hitta viruset och den utrustning som drabbats. Fokus är på att hindra fortsatt spridning. Man konstaterar att viruset inte smittar vårt journalsystem (Melior) som driftas i en 64 bitars miljö. Via central policy stänger man också av ”autorun” på samtliga RSIT datorer eftersom detta är en väg viruset använder för att sprida sig.

15 Förvaltningsledning Mål och handlingsplan ITT Onsdagen den 7 januari Via vår informatör läggs mer detaljerad information om viruset kontinuerligt ut på RSIT’s hemsida. F-secure lägger ut varning om viruset på sin hemsida. Eftersom viruset inte från början upptäcktes och stoppades av vårt virusskydd har stora delar av vår IT-miljö drabbats. Genom att detektera vilken utrustning som attackerar vissa portar i brandväggen kunde vi konstatera att ca PC och minst 50 % av våra servrar smittats. Vid granskningen av de PC som smittats upptäcktes att den säkerhetspatch (KB859644) som Microsoft släppte i oktober 2008 inte fanns korrekt installerad på ca 1000 av våra PC med Windows Eftersom viruset använder detta säkerhetshål (MS08-067) läggs stort fokus på att installera säkerhetspatchen. Arbetet med att rensa bort viruset fortsätter, men beroende på att viruset har förmåga att ändra sitt utseende lyckas inte virusskyddet rensa bort allt utan vissa datorer återsmittas snabbt. Kontakt tas med Region Skånes telefonileverantör för att informera om att man bör säkra sina servrar.

16 Förvaltningsledning Mål och handlingsplan ITT Torsdagen den 8 januari F-secure har nu lyckats att skapa en virusdefinitionsfil med generisk detektering, vilket gör att vi nu kan hitta och rensa bort alla varianter av viruset. Under natten till fredag körs ett script som kontrollerar om säkerhetspatchen (KB859644) finns korrekt installerad och installerar i annat fall denna.

17 Förvaltningsledning Mål och handlingsplan ITT Fredagen den 9 januari Med hjälp av nya virusdefinitionsfiler minskas spridningen av viruset nu snabbt. Genom att kontinuerligt detektera vilken utrustning som attackerar brandväggen kan vi konstatera att antalet smittade datorer nu minskat från ca till ca Som del i planeringen inför helgens arbete sprids listan på smittade datorer och arbetet delas upp mellan teknikerna Vi kan dock se att en hel del av den utrustning som attackerar brandväggen inte är utrustning som hanteras av RSIT utan av bl.a. Medicins Teknik, externa leverantörer och externa vårdgivare. RSIT kontaktar dessa och ger information om hur man skall göra för att rensa bort viruset.

18 Förvaltningsledning Mål och handlingsplan ITT Lördagen den 10 januari Under helgen är ca 40 IT-tekniker inne och jobbar med att dator för dator rensa bort viruset. Antalet smittade datorer har nu sjunkit ytterligare och är nere på IT vet hur de ska leta efter viruset och åtgärda smittade datorer. Systemen kan gå trögt, men det går fortfarande att jobba på dem.

19 Förvaltningsledning Mål och handlingsplan ITT Söndagen den 11 januari Arbetet under helgen går bra och antalet smittade datorer är nu nere i ca 350 st. Inga av RSIT’s servrar är längre smittade.

20 Förvaltningsledning Mål och handlingsplan ITT Måndagen den 12 januari Eftersom viss personal varit långlediga och först nu startar sina datorer ökar under förmiddagen antalet smittade datorer från ca 350 till ca 600 st. Det har nu visat sig att även tunna klienter med Windows XP embedded drabbas av viruset. Eftersom den tunna klienten saknar möjlighet att lagra lokalt kan inte viruset sparas på klienten utan försvinner så fort klienten startas om. Vi konstaterar också att 21 av vår telefonileverantörs servrar är virussmittade.

21 Förvaltningsledning Mål och handlingsplan ITT Tisdagen den 13 januari Antalet smittade datorer har nu sjunkit till ca av dem beräknas vara sk tunna klienter. Medarbetare med tunna klienter uppmanas att starta om sina datorer även om de fungerar normalt. Vi konstaterar att 11 av vår telefonileverantörs 21 servrar fortfarande är virussmittade.

22 Förvaltningsledning Mål och handlingsplan ITT Onsdagen den 14 januari Runt 470 smittade datorer. Antalet datorer som vi identifierat har ökat något. Inledande tester av en patch från leverantören Wyse som förhindrar återsmittning var positiva. På kvällen inledde vi en generell distribution men problem uppstod under installationen på runt 25 klienter, vars image blev korrupt och klienten slutade fungera. Beslut togs att stoppa distributionen omedelbart

23 Förvaltningsledning Mål och handlingsplan ITT Torsdagen den 15 januari Under natten identifierade vi 180 smittade datorer, varav över 100 av dessa är tunna klienter. På eftermiddagen tog vi fram ny statistik, som inkluderar datorer som är avstängda nattetid och vi har 366 smittade datorer Ett arbete för att byta ut de tunna klienter vars image kraschat under gårdagen påbörjas parallellt med nya tester och tillvägagångssätt för att hitta en fungerande och säker lösning

24 Förvaltningsledning Mål och handlingsplan ITT Fredagen den 16 januari Runt 225 smittade datorer dagtid, varav 50% är tunna klienter. Siemens meddelar att deras serverpark på HIC, UMAS, USIL och Helsingborg är 100 % klara. Arbetet fortsätter med resterande enheter. F-Secure meddelar att de har släppt en uppdaterad version av sitt rensningsverktyg med uppdaterat detekteringsskydd. Via F-Secure policyn distribueras den senaste varianten till alla klienter.

25 Förvaltningsledning Mål och handlingsplan ITT Måndagen den 19 januari På morgonen identifierar vi 125 smittade datorer, varav de flesta är tunna klienter. Under eftermiddagen hittar vi en fungerande lösningen för de tunna klienterna. Det kräver manuellt arbete via fjärrstyrning och varje klient tar runt 15 minuter att åtgärda. Telefonileverantören meddelar att Hässleholm, Tandvårdshuset samt CSK hänvisningsservrar är rensade. F-Secure släpper ännu en uppdaterad version av rensningsverktyget som vi distribuerar till alla klienter. Enligt F- Secure så förhindrar verktyget även datorer från att bli återsmittade genom att stänga av vissa tjänster.

26 Förvaltningsledning Mål och handlingsplan ITT Tisadagen den 20 januari Vi är nu nere i under 80 smittade klienter Tekniker arbetar med att rensa de tunna klienterna manuellt. De återstående feta klienterna kräver mycket arbete med att identifiera och hitta. Telefonileverantören meddelar att deras servrar i Ystad och Trelleborg är rensade.

27 Förvaltningsledning Mål och handlingsplan ITT Det här gör Downadup.Cm

28 Förvaltningsledning Mål och handlingsplan ITT Lite mer text Viruset identifieras som W32/Downadup.CM och använder flera olika metoder för att sprida sig såsom att gissa nätverkslösenord och infektera USB-minnen, samt även genom att utnyttja den sårbarhet i Windows Server Service som Microsoft nu åtgärdat. Följden är att det är ovanligt svårt att helt radera den skadliga koden när den väl finns inne i ett företags nätverk. Ett typiskt problem som masken orsakar är att den stänger ute användare från nätverket. Det sker på grund av att masken försöker gissa (eller brute- force) nätverkslösenord och på så vis till sist aktiverar den automatiska utestängningen när den försökt gissa lösenordet för många gånger och misslyckats. När väl masken infekterat en dator skyddar den aggressivt sig själv genom att starta tidigt i uppstartsprocessen och genom att sätta rättigheter på filer och registernycklar som hör till masken så att användare inte kan ta bort eller ändra dem. Masken laddar ner modifierade versioner av sig själv från en lång rad webbsidor. Namnen på webbsidorna genereras av en algoritm baserad på nuvarande datum och klockslag. Eftersom det finns hundratals olika domäner som kan användas av den skadliga koden är det svårt för säkerhetsföretag att lokalisera och stänga ner dem i tid.

29 Förvaltningsledning Mål och handlingsplan ITT Stäng av Autoplay

30 Förvaltningsledning Mål och handlingsplan ITT DOS attack som sidoeffekt av virus Virus SYN SYN ACK ACK


Ladda ner ppt "Förvaltningsledning Mål och handlingsplan ITT 2008 1 2007-11-22 DOWNADUP.Cm."

Liknande presentationer


Google-annonser