Übersicht
Information Operations Condition (INFOCON) ist ein Bedrohungsstufensystem in den USA, das dem von DEFCON oder FPCON ähnelt. INFOCON ist ein Verteidigungssystem, das hauptsächlich auf dem Status von Informationssystemen basiert und eine Methode des Militärs zur Abwehr eines Computernetzwerkangriffs darstellt.
Die Struktur des Systems
Die INFOCON-Ebene wird letztendlich vom Kommandeur des US Strategic Command (CDRUSSTRATCOM) festgelegt. Das System erstreckt sich über alle Informationssysteme des Verteidigungsministeriums im nicht klassifizierten Internet Protocol Routing Network (NIPRNET) und im geheimen Internet Protocol Router Network (SIPRNET).
Eine Richtlinie „Nur für amtliche Zwecke“ aus dem Jahr 2006 beschreibt das INFOCON-System als:
. . . einschließlich Verantwortlichkeiten, Prozesse und Verfahren, gilt für nicht klassifizierte Internet Protocol Routing Network (NIPRNET) und Secret Internet Protocol Router Network (SIPRNET) Systeme im Zuständigkeitsbereich der Joint Chiefs of Staff und alle DoD-Aktivitäten innerhalb der Unified Commands, Militärdienste und DoD-Agenturen sowie die Nicht-DoD NetOps COI (NetOps CONOPS, Joint Concept of Operations for Global Information Grid NetOps). Es wird von Unified and Service Commanders, Base / pos / Camp / Station / Vessel Commanders und Agency Directors mit Autorität über Informationssysteme und Netzwerke (Operational und / oder Support) (im Folgenden zusammenfassend als „Commanders“ bezeichnet) ausgeführt.1
Die gleiche Richtlinie beschreibt das System als „einen Rahmen, in dem der Kommandant USSTRATCOM (CDRUSSTRATCOM), regionale Kommandeure, Dienstchefs, Basis- / Post- / Lager- / Stations- / Schiffskommandanten oder Agenturdirektoren die messbare Bereitschaft ihrer Netzwerke erhöhen können, um den operativen Prioritäten zu entsprechen.“2
INFOCON-Bedrohungsstufen
Es gibt fünf INFOCON-Stufen, die kürzlich geändert wurden, um enger mit den DEFCON-Stufen zu korrelieren. Sie sind:
- INFOCON 5 zeichnet sich durch routinemäßige NetOps aus, normale Bereitschaft von Informationssystemen und Netzwerken, die unbegrenzt aufrechterhalten werden können. Informationsnetze sind in einem bekannten Ausgangszustand mit Standardrichtlinien zur Informationssicherung voll funktionsfähig und werden durchgesetzt. Während der INFOCON 5 erstellen und pflegen System- und Netzwerkadministratoren eine Snapshot-Baseline jedes Servers und jeder Workstation in einer bekannten guten Konfiguration und entwickeln Prozesse, um diese Baseline für autorisierte Änderungen zu aktualisieren.
- INFOCON 4 erhöht die NetOps-Bereitschaft zur Vorbereitung auf Operationen oder Übungen mit begrenzten Auswirkungen auf den Endbenutzer. System- und Netzwerkadministratoren legen einen Betriebsrhythmus fest, um das bekannte gute Image eines Informationsnetzwerks gegen den aktuellen Zustand zu validieren und nicht autorisierte Änderungen zu identifizieren. Darüber hinaus werden Benutzerprofile und Konten überprüft und Überprüfungen für ruhende Konten durchgeführt. Durch Erhöhen der Häufigkeit dieses Validierungsprozesses wird der Zustand eines Informationsnetzwerks als unverändert (d. H. Gut) bestätigt oder als kompromittiert bestimmt. Diese Bereitschaft kann durch eine erhöhte Intelligenzüberwachung und verstärkte Sicherheitsmaßnahmen (Portblockierung, erhöhte Scans) von Informationssystemen und Netzwerken gekennzeichnet sein oder auch nicht. Die Auswirkungen auf die Endnutzer sind vernachlässigbar.
- INFOCON 3 erhöht die NetOps-Bereitschaft weiter, indem die Häufigkeit der Validierung des Informationsnetzwerks und seiner entsprechenden Konfiguration erhöht wird. Die Auswirkungen auf die Endnutzer sind gering.
- INFOCON 2 ist eine Bereitschaftsbedingung, die eine weitere Erhöhung der Häufigkeit der Validierung des Informationsnetzwerks und seiner entsprechenden Konfiguration erfordert. Die Auswirkungen auf die Systemadministratoren werden im Vergleich zu INFOCON 3 zunehmen und erfordern eine Zunahme der Vorplanung, der Personalschulung sowie der Implementierung und Vorpositionierung von Dienstprogrammen zum Systemumbau. Die Verwendung von „Hot Spare“ -Geräten kann Ausfallzeiten erheblich reduzieren, indem ein paralleler Wiederaufbau ermöglicht wird. Die Auswirkungen auf die Endnutzer können für kurze Zeiträume erheblich sein, was durch Schulungen und Terminplanung gemindert werden kann.
- INFOCON 1 ist die höchste Bereitschaftsbedingung und adressiert Intrusionstechniken, die bei niedrigeren Bereitschaftsstufen (z. B. Kernel-Root-Kit) nicht identifiziert oder besiegt werden können. Es sollte nur in den begrenzten Fällen implementiert werden, in denen INFOCON 2-Maßnahmen wiederholt auf anomale Aktivitäten hinweisen, die nur durch das Vorhandensein dieser Eindringtechniken erklärt werden können. Bis zu dem Zeitpunkt, zu dem wünschenswertere Erkennungsmethoden verfügbar sind, besteht die effektivste Methode, um sicherzustellen, dass das System nicht auf diese Weise kompromittiert wurde, darin, Betriebssystemsoftware auf wichtigen Infrastrukturservern (z. B. Domänencontrollern, Exchange-Servern usw.) neu zu laden.) von einer genauen Baseline.
Der Wiederaufbau sollte auf andere Server ausgeweitet werden, wenn die Ressourcen dies zulassen und die Eindringungserkennungsstufen dies anzeigen. Sobald Baseline-Vergleiche keine anomalen Aktivitäten mehr anzeigen, sollte INFOCON 1 beendet werden. Die Auswirkungen auf die Systemadministratoren werden erheblich sein und eine Zunahme der Vorplanung, der Personalschulung sowie der Implementierung und Vorpositionierung von Dienstprogrammen für den Systemumbau erfordern. Die Verwendung von „Hot Spare“ -Geräten kann Ausfallzeiten erheblich reduzieren, indem ein paralleler Wiederaufbau ermöglicht wird. Die Auswirkungen auf die Endnutzer können für kurze Zeiträume erheblich sein, was durch Schulungen und Terminplanung gemindert werden kann.3