Overview
Information Operations Condition (INFOCON) is een dreigingsysteem in de Verenigde Staten dat vergelijkbaar is met dat van DEFCON of FPCON. INFOCON is een verdedigingssysteem dat voornamelijk gebaseerd is op de status van informatiesystemen en is een methode die door het leger wordt gebruikt om zich te verdedigen tegen een aanval op een computernetwerk.
de structuur van het systeem
het INFOCON-niveau wordt uiteindelijk bepaald door de Commander of U. S. Strategic Command (CDRUSSTRATCOM). Het systeem strekt zich uit over alle informatiesystemen van het Ministerie van Defensie op het niet-geclassificeerde Internet Protocol Routing Network (NIPRNET) en het geheime Internet Protocol Router Network (SIPRNET).
een richtlijn” alleen voor officieel gebruik ” uit 2006 beschrijft het INFOCON-systeem als:
. . . inclusief verantwoordelijkheden, processen en procedures, geldt voor niet-geclassificeerde Internet Protocol Routing Network (NIPRNET) en Secret Internet Protocol Router Network (SIPRNET) systemen onder de bevoegdheid van de Joint Chiefs of Staff en alle DoD activiteiten binnen de unified commands, militaire diensten, en DoD agentschappen, evenals de niet-DoD NETOPS COI (NetOps CONOPS, Joint Concept of Operations for Global Information Grid NetOps). Het wordt uitgevoerd door unified and service commandants, base/pos /camp/station/vessel commandants and agency directors with authority over information systems and networks (operational and/of support) (hierna gezamenlijk “commandants”genoemd).1
in dezelfde richtlijn wordt het systeem beschreven als “een kader waarbinnen de commandant USSTRATCOM (CDRUSSTRATCOM), regionale commandanten, dienstchefs, basis – /post – /post – /stationscommandanten/scheepscommandanten, of directeuren van agentschappen de meetbare gereedheid van hun netwerken kunnen vergroten om de operationele prioriteiten aan te passen.”2
Infocon-dreigingsniveaus
er zijn vijf INFOCON-niveaus, die onlangs zijn veranderd om nauwer te correleren met DEFCON-niveaus. Zij zijn:
- INFOCON 5 wordt gekenmerkt door routinematige NetOps, normale paraatheid van informatiesystemen en netwerken die voor onbepaalde tijd kunnen worden gehandhaafd. Informatienetwerken zijn volledig operationeel in een bekende uitgangssituatie met een standaard informatieborgingsbeleid dat wordt toegepast en gehandhaafd. Tijdens INFOCON 5 maken en onderhouden systeem-en netwerkbeheerders een snapshot baseline van elke server en werkstation in een bekende goede configuratie en ontwikkelen ze processen om die baseline bij te werken voor geautoriseerde wijzigingen.
- INFOCON 4 verhoogt NetOps paraatheid, ter voorbereiding op operaties of oefeningen, met een beperkte impact op de eindgebruiker. Systeem – en netwerkbeheerders zullen een operationeel ritme vaststellen om het bekende goede beeld van een informatienetwerk te valideren tegen de huidige toestand en onbevoegde wijzigingen te identificeren. Daarnaast worden gebruikersprofielen en accounts gecontroleerd en gecontroleerd op slapende accounts. Door de frequentie van dit validatieproces te verhogen, wordt de toestand van een informatienetwerk bevestigd als ongewijzigd (d.w.z. goed) of als aangetast. Dit niveau van paraatheid kan al dan niet worden gekenmerkt door een verhoogde intelligence watch en versterkte beveiliging (havenblokkering, verhoogde scans) metingen van informatiesystemen en netwerken. De gevolgen voor de eindgebruikers zijn verwaarloosbaar.
- INFOCON 3 verhoogt de netops-paraatheid verder door de frequentie van validatie van het informatienetwerk en de bijbehorende configuratie te verhogen. De gevolgen voor de eindgebruikers zijn gering.
- INFOCON 2 is een gereedheidsvoorwaarde die een verdere verhoging van de frequentie van validatie van het informatienetwerk en de bijbehorende configuratie vereist. De impact op systeembeheerders zal toenemen in vergelijking met INFOCON 3 en zal een toename van de preplanning, opleiding van personeel, en de uitoefening en pre-positionering van systeem wederopbouw utilities vereisen. Het gebruik van” hot spare ” – apparatuur kan de stilstandtijd aanzienlijk verminderen door gelijktijdige verbouwing mogelijk te maken. De gevolgen voor de eindgebruikers kunnen voor korte perioden aanzienlijk zijn, wat kan worden beperkt door opleiding en planning.
- INFOCON 1 is de hoogste bereidheidsvoorwaarde en behandelt intrusietechnieken die niet kunnen worden geïdentificeerd of verslagen op lagere bereidheidsniveaus (bijvoorbeeld kernel root kit). Het mag alleen worden toegepast in die beperkte gevallen waarin INFOCON 2-maatregelen herhaaldelijk wijzen op abnormale activiteiten die alleen door de aanwezigheid van deze intrusietechnieken kunnen worden verklaard. Totdat er meer wenselijke detectiemethoden beschikbaar zijn, is de meest effectieve methode om ervoor te zorgen dat het systeem niet op deze manier in gevaar is gebracht, het herladen van besturingssysteemsoftware op belangrijke infrastructuurservers (bijv. domeincontrollers, Exchange-servers, enz.) vanaf een nauwkeurige basislijn.
herbouwen moet worden uitgebreid naar andere servers zoals bronnen toestaan en inbraakdetectie niveaus aangeven. Zodra de basislijnvergelijkingen niet langer wijzen op abnormale activiteiten, dient INFOCON 1 te worden beëindigd. De impact op systeembeheerders zal aanzienlijk zijn en zal een toename van de preplanning, opleiding van personeel, en de uitoefening en pre-positionering van systeem wederopbouw nutsbedrijven vereisen. Het gebruik van” hot spare ” – apparatuur kan de stilstandtijd aanzienlijk verminderen door gelijktijdige verbouwing mogelijk te maken. De gevolgen voor de eindgebruikers kunnen voor korte perioden aanzienlijk zijn, wat kan worden beperkt door opleiding en planning.3