Vereisten voor reactie op beveiligingsincidenten - Vertrouwd basisprogramma van Microsoft

Definities

  1. "Een compromis": een direct of indirect incident dat van invloed is op de CA, sub-CA of kruisondertekende, niet-geregistreerde rootcertificaten, wat resulteert in een werkelijke of potentiële verslechtering van de beveiligingsstatus van de PKI, waaronder hardware-, software- of fysieke toegangsproblemen vallen.

  2. 'Beveiligingsincident' of 'incident': een van de volgende dingen die optreden bij de CA of een sub-CA:

    1. Een inbreuk op de persoonlijke sleutel.
    2. Een onjuist uitgegeven certificaat.
    3. Een bekende of redelijkerwijs bekende, openbaar gemelde inbreuk.
    4. Elk fysiek compromis van de CA-infrastructuur (bijvoorbeeld een storing in fysieke toegangsbeheer, een inbreuk op het bouwen of een storing in de HVAC in het datacenter).
    5. Elk ander probleem dat Microsoft identificeert als het in twijfel trekken van de integriteit of betrouwbaarheid van de CA.

  3. 'Uitzonderlijke omstandigheden': een of meer incidenten waarin Microsoft van mening is dat de PKI wordt aangetast om de beveiligingspostuur van een groot aantal klanten van Microsoft te beïnvloeden.

CA-verantwoordelijkheden in het geval van een incident

Alle CA's moeten ten minste één 24/7 bewaakte contactpersoon of alias hebben die bedoeld is voor incidentbeheer.

In het geval van een beveiligingsincident moet de CA:

  1. Informeer Microsoft zodra het praktisch is, maar niet later dan 24 uur vanaf het tijdstip van detectie van beveiligingsincidenten door de volgende vragen hieronder te voltooien en de voltooide antwoorden naar te msroot@microsoft.comverzenden. Voor het formulier is de volgende informatie vereist (indien bekend op het moment):

    • Wie het incident heeft gedetecteerd.
    • Indien beschikbaar, wie het incident heeft gepleegd.
    • Toen de CA het incident ontdekte.
    • Waar het incident is opgetreden.
    • Welke root-certificaten, subcertificeringsinstanties en het aantal van de certificaten van eindgebruikers die door het incident zijn beïnvloed.
    • Wat de CA denkt de onderliggende oorzaak van het incident te zijn.
    • Welke herstelmaatregelen de CA heeft genomen of zal nemen dat de CA denkt de onderliggende oorzaak van het incident te verhelpen.
    • Alle andere informatie die de CA van mening is, is geschikt.
    • Alle andere gegevens die Microsoft heeft aangevraagd bij het beantwoorden van de eerste melding.
    • Alle informatie of acties die de CA Microsoft verzoekt te ondernemen om de beveiliging te vergroten of ongemakken voor de eindgebruikers te verlichten.

  2. Op verzoek van Microsoft moet de CA een lijst opgeven met alle certificaten die onjuist zijn uitgegeven als gevolg van het incident.

  3. Op verzoek van Microsoft moet de CA periodieke rapporten van Microsoft verstrekken met een interval dat is opgegeven door Microsoft. Als Microsoft geen specifieke aanvraag indient, moet de CA elke 24 uur een update van Microsoft opgeven totdat het incident is hersteld.

  4. Zodra het incident is opgelost, moet de CA een definitief beveiligingsincidentrapport aan Microsoft opgeven dat het volgende omvat:

    • Een lijst met certificaten en domeinen die betrokken zijn bij de inbreuk.
    • Hoe heeft de CA het incident gedetecteerd? Als de CA de inbreuk niet heeft gedetecteerd, wie heeft en waarom heeft de CA niet gedetecteerd?
    • Als de rapporten na verloop van tijd niet overeenkomen, waarom?
    • Gedetailleerde beschrijving van de exploitatie.
    • Details over welke infrastructuur is gecompromitteerd.
    • Details over hoe de infrastructuur is aangetast.
    • Een gedetailleerde tijdlijn van gebeurtenissen.
    • De interpretatie van de CA van wie de inbreuk heeft gepleegd.
    • Is het beveiligingsprobleem gedetecteerd door de normale werking van de CA's? Als dat niet het was, leg dan uit waarom.
    • Is het beveiligingsprobleem gedetecteerd in de meest recente controle? Zo ja, geef dan informatie op als het beveiligingsprobleem is hersteld. Als het beveiligingsprobleem niet is hersteld, geeft u informatie op over de reden hiervoor.
    • Is dit beveiligingsprobleem gedetecteerd door de meest recente controle? Als dat niet het was, leg dan uit waarom.
    • Als het beveiligingsprobleem is gedetecteerd in de meest recente controle, is dit opgelost? Zo niet, leg dan uit waarom.
    • Welke wijzigingen in het CP/CPS-beleid zal de CA aanbrengen?
    • Gedetailleerde beschrijving van hoe het probleem is gesloten.

  5. Indien dit door Microsoft wordt aangevraagd, wordt een volledig onderzoeks- en technisch rapport van het beveiligingsincident geleverd.

De rechten van Microsoft in het geval van een incident

In het geval van een beveiligingsincident kan Microsoft naar eigen goeddunken een van de volgende handelingen uitvoeren:

  1. Onder uitzonderlijke omstandigheden moet je onmiddellijk certificaten verwijderen en/of weigeren die de CA of een sub-CA heeft opgenomen in het programma; anders kan de CA na een kennisgeving van zeven dagen certificaten verwijderen en/of weigeren.
  2. Microsoft kan actie ondernemen, waaronder, maar niet beperkt tot, het markeren van bestanden die zijn ondertekend door gecompromitteerde certificaten als malware, het blokkeren van webnavigatie naar sites die worden geleverd met gecompromitteerde serververificatiecertificaten, enzovoort.
  3. Vraag of de CA specifieke rapporten maakt met een periodiek interval dat door Microsoft moet worden bepaald.
  4. Geef een einddatum op waarop de CA een definitief beveiligingsincidentrapport moet indienen bij Microsoft.
  5. Communiceren met betrokken derden.
  6. Vereisen dat de CA ten koste van de CA een externe onderzoeker moet gebruiken om het beveiligingsincident te onderzoeken en het uiteindelijke rapport over beveiligingsincidenten voor te bereiden.
  7. Elke in aanmerking komende audit diskwalificeren en vereisen dat de CA op kosten van de CA zelf een nieuwe in aanmerking komende audit uitvoert.

De verantwoordelijkheden van Microsoft in het geval van een beveiligingsincident

In het geval dat Microsoft een van de hierboven beschreven rechten uitoefent, zal Microsoft het volgende doen:

  1. Informeer de CA schriftelijk over zijn intenties van 7 dagen voorafgaand aan de actie van Microsoft, behalve onder uitzonderlijke omstandigheden, in welk geval Microsoft redelijke inspanningen zal leveren om met de CA te communiceren voordat ze actie onderneemt; En

  2. Sta de CA toe om een alternatieve procedure voor te stellen, in dat geval zal Microsoft redelijke alternatieven overwegen, maar behoudt zich het recht voor om dergelijke voorstellen af te wijzen als zij denkt dat de voorgestelde actie niet in het belang van haar klanten is.

  • Last updated on