Läs mer
Start

Analys och hantering av IT-incidenter

Detta projekt syftar till att hjälpa systemadministratörer, incidenthanterare och högre beslutsfattare att analysera och hantera IT-incidenter. Projektet löper under 2012-2014 och innefattar forskare inom IT-säkerhet och forskare inom informationsfusion. Tillsammans kommer grupperna att studera alternativa lösningar och tekniker för incidentanalys och incidenthantering med hjälp av data insamlad från tävlingar, övningar och kurser inom IT-säkerhet.

FOI förfogar över ett kluster av över 300 datorservrar som exekverar en miljö för virtuella maskiner. Inom detta kluster kan komplicerade datornät med tusentals virtuella maskiner skapas enligt givna konfigurationer. Förutom diversifierade miljöer med en stor mängd olika typer av mjukvara och en stor mängd mjukvarutjänster finns i detta kluster funktioner för att producera bakgrundstrafik (d.v.s. trafik som motsvarar vanligt användande av system). Vidare finns stöd för uppföljning av skeenden i de skapade datornäten. Denna miljö och de övningar som genomförs i den kommer att användas för att studera de tre frågor som är relaterade till hantering av incidenter där informationsteknologi (IT) är den primära felorsaken:

 

  1. Hur kan en IT-administratör (eller grupp av IT-administratörer) fusionera tillgänglig information från IT-systemen för att förstå vad som händer i IT-systemen under pågående incident?
  2. Hur kan en högre beslutsfattare slå samman sin information om IT-läget med  andra informationskällor för att få en så god lägesförståelse som möjligt?
  3. Hur kan man göra för att med god träffsäkerhet kunna återskapa de händelsekedjor som ledde fram till IT-incidenten?

Projektet pågår från mitten av 2012 till mitten av 2014. Under den första halvan av projektet är fokus på hantering av pågående incidenter. Under den andra halvan av projektet är fokus på rekonstruktion av händelsekedjor och djupare incidentanalyser.

 

Projektet finansieras av Security Linklänk till annan webbplats.