Реагирование на инциденты кибербезопасности

Михаил Кадер,

[email protected], [email protected]

Реагирование на инциденты кибербезопасности

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›

Вопросы к обсуждению

Угрозы в Интернете

Центры реагирования

Некоторые методы борьбы


Отчет по безопасности Cisco за 2009 г.

Социальные сети

Риски при работе в Интернете

Монетизация киберпреступлений

Указатель ресурсов киберпреступности

Номинации "образцово-показательные киберпреступления"


Матрица : доход на капитал, вложенный в киберпреступление


"Изделие года" в области киберпреступности

"Антивирус XP нашел 2794 угрозы. Рекомендуется их устранить. Продолжить?"


Bakasoftware управляет криминальной сетью

Партнеры Bakasoftware по продаже "шпионского” ПО для “устрашения”

Партнеры загружают "ПО-устрашитель" в ботсети

Партнеры выплачивают Bakasoftware комиссионные за покупки клиентов

Доход партнера № 2 за 10 дней – 147 тыс. долларов, за год – 5 млн.

154 825 установок, 2772 покупки

Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2

Панель Bakasoftware с доходами за 10 дней ДФ № 2

День 10 День 10

День 1 День 1 День 2 День 2 День 3 День 3 День 4 День 4 День 5 День 5 День 6 День 6 День 7 День 7 День 8 День 8 День 9 День 9

Итого Итого







Computer Emergency Response Teams – Основные факты

Причина появления: The Internet Worm, 1988

Создание CERT-CC (координационной центр)

Carnegie Mellon University

http://www.cert.org/

Возможные названия: IRT (Incident Response Team)

CSIRT (Computer security incident response team)

… и другие варианты


Координационные центры

FIRST:

Forum of Incident Response Teams

http://www.first.org

TF-CSIRT:

Европейский координационный центр

http://www.terena.org/activities/tf-csirt/


Европейские CERT-ы (Май 2010)https://www.trusted-introducer.org/teams/country_LICSA.html

*Europe•Cisco PSIRT •EGEE OSCT •ESACERT (*Europe) •IBM ERS •SunCERT *World Wide•NCIRC CC Austria•ACOnet-CERT •CERT.at •R-IT CERT Azerbaijan•CERT AzEduNET Belgium•BELNET CERT (Belgium)•CERT.be (Belgium) Bulgaria•CERT Bulgaria (Bulgaria)Croatia•CARNet-CERT (Croatia) •CERT ZSIS •HR-CERT (Croatia) Cyprus•CYPRUS Czech Republic•CESNET-CERTS (Czech Republic) •CSIRT-MU •CSIRT.CZ •CZNIC-CSIRT Denmark•CSIRT.DK •DK-CERT (Denmark)•KMD IAC (Denmark)

Estonia•CERT-EE (Estonia)•SKY-CERT Finland•CERT-FI (Finland)•Ericsson PSIRT (Finland)•Funet CERT (Finland)•Nokia NIRT France•APOGEE SecWatch •Cert-IST (France)•CERT-LEXSI (France)•CERT-Renater (France)•CERT-Societe Generale •CERTA (France)•CSIRT BNP Paribas Georgia•CERT-GE Germany•CERT-BUND •CERT-VW (Germany) •CERTBw •CERTCOM •ComCERT •dCERT (Germany) •DFN-CERT (Germany)•GNS-CERT •KIT-CERT (Germany)•PRE-CERT (Germany)•RUS-CERT (Germany)•S-CERT (Germany)•SAP CERT •secu-CERT •Siemens CERT (Germany)•T-Com-CERT •Telekom-CERT (Germany) Greece•AUTH-CERT •FORTH CERT (Greece)•GRNET-CERT

Hungary•CERT-Hungary (Hungary)•HUN-CERT •NIIF-CSIRT Iceland•RHnet CERT Ireland•HEANET-CERT •IRISS CERT (Ireland)•Jumper CSIRT (Ireland)•POPCAP-CSIRT Israel•ILAN CERT Italy•CERT-IT •GARR-CERT (Italy)Latvia•CERT NIC.LV (Latvia)•DDIRV (Latvia)Lithuania•CERT-LT (Lithuania)•IST-SVDPT (Lithuania)•LITNET CERT (Lithuania)Luxembourg•CIRCL •RESTENA-CSIRT (Luxembourg)Malta•mtCERT (Malta)Netherlands•AMC-CERT •CERT-IDC•CERT-KUN •CERT-RUG (Netherlands)•CERT-UU •Edutel-CSIRT •GOVCERT.NL (Netherlands)•ING Global CIRT •KPN-CERT (Netherlands)•SURFcert (Netherlands)•UvA-CERT

Norway•NorCERT (Norway) •NORDUnet CERT (Norway) •UiO-CERT (Norway) •UNINETT CERT (Norway) Poland•CERT POLSKA (Poland)•PIONIER-CERT •TP CERT Portugal•CERT-IPN •CERT.PT (Portugal)•CSIRT.FEUP (Portugal)Romania•RoCSIRT (Romania)Russian Federation•RU-CERT (Russian Federation) •WebPlus ISP Slovenia•SI-CERT (Slovenia)Spain•CCN-CERT (Spain) •CSIRTCV •esCERT-UPC (Spain)•INTECO-CERT (Spain) •IRIS-CERT (Spain) Sweden•SIST •SITIC (Sweden) •SUNet CERT (Sweden) •Swedbank SIRT (Sweden) •TS-CERT (Sweden) Switzerland•CC-SEC •CERN-CERT •IP+ CERT •OS-CIRT •SWITCH-CERT (Switzerland)

Turkey•TR-CERT (Turkey) •Ulak-CSIRT (Turkey) Ukraine•CERT-UA United Kingdom•BTCERTCC (United Kingdom) •Citigroup •CSIRTUK (United Kingdom) •DANCERT •DCSIRT (United Kingdom) •E-CERT •EUCS-IRT •GovCertUK •JANET CSIRT (United Kingdom) •MLCIRT •MODCERT •OxCERT •Q-CIRT •RBSG-ISIRT (United Kingdom)


CERT: Взаимодействие

Предприятие

Оператор 1

Оператор 2

mbehringNCIRC CC

CSIRT

CSIRT

CSIRT

Атака

Правоохрани-тельные органы


NSP-SEC

“The nsp-security [NSP-SEC] forum is a volunteer incident response mailing list, which coordinates the interaction between ISPs and NSPs in near real-time and tracks exploits and compromised systems as well as mitigates the effects of those exploits on ISP networks. The list has helped mitigate attacks and will continue to do so.”

http://puck.nether.net/mailman/listinfo/nsp-security


Кто входит в NSP-SEC ?

Вы работаете в крупном операторе услуг Интернет, центре хостинга, транзитном операторе?

Включает ли в себя Ваша работа задачи по обеспечению сетевой безопасности?

Готовы ли Вы бесплатно помогать сообществу сетевых оперторов в мониторинге, сборе данных и их анализе?

Есть ли у Вас полномочия и технические возможности по расследованию и предотвращению инцидентов в вашей сети?

Есть ли у Вас время для участия в работе форума в реальном режиме времени?


iNOC DBA – Почему и как?

ПочемуОператоры должны взаимодействовать во время атаки, например – разговаривать :-)

Не так просто найти правильный контакт сразу. Инженер может просто не брать телефон.

Решение: Выделенная система телефонной связи

INOC-DBA: Inter-NOC Dial-by-ASN

КакГолосовая система на базе протокола SIP

Нумерация базируется на номерах автономных систем в ИнтернетAS-Number:Extension

www.pch.net/inoc-dba/







Отслеживание: основные положения

Если префикс источника не фальшивый:Таблица маршрутизации

Реестр Интернет-маршрутизации (IRR)—whois

Непосредственный выход на сеть

Если префикс источника фальшивый: Отследите маршрут потока пакетов по сети

Найдите входящее соединение

Следующий оператор связи должен продолжать поиск


Маршрутизаторы/сети – поглотителя

«Поглотители» (sinkhole) являются методом защиты на уровне топологии сети—аналогичны «приманкам» (honeypot)

Используется для отвода атакующих ударов от пользователя—перенаправляет удар на маршрутизатор, который способен выдержать атаку

Используется для мониторинга шумового трафика атаки, сканирования, посылки лже-трафика и другой активности (с анонимных либо несуществующих IP адресов)

Трафик обычно отводится с помощью маршрутных объявлений BGP и другими средствами

Программное обеспечение внутри контролируемого окружения



Цель атаки

192.168.20.1 Адрес-мишень

192.168.20.0/24—Сеть-мишень

Поглощающая сеть

пользователи

пользователи Пользователи




Цель атаки

192.168.20.1 адрес мишени

192.168.20.0/24—Сеть - мишень



пользователь

Маршрутизатор объявляет

192.168.20.1/32



Атакующий удар отводится от пользователя / агрегирующего маршрутизатора

Теперь можно применить ACL-классификацию, захват пакетов и т.д.

Задачей является минимизация рисков для сети на время анализа обстоятельств атаки

Цель атаки

192.168.20.1 адрес мишени

192.168.20.0/24—Сеть-мишень





192.168.20.1/32



Объявление адресного пространства (“space”) в поглощающей сети направит в неё весь поступающий «мусор» ( и гипотетически полезный) трафик:

Пользовательский трафик при зацикливании

Сканирования сети к несуществующим адресам

Вирусный трафик

Обратное распространение

Поместите в поглощающую сеть инструменты слежения для анализа шумового трафика


Пользователи

Пользователи


“space”

ПользователиПользователи


Что можно отследить в поглощающей сети?

Сканирование с незнакомых IP (распределенного и неиспользуемого адресного пространства)

Кто прощупывает сеть—предварительная разведка, «черви»…

Сканирование с bogons (нераспределенных адресов)

«Черви», зараженные машины Обратное распрстранение после атак

Кого атакуют Обратное распространение от шумового трафика

(«дыры» RFC-1918)Какие пользователи имеют проблемы в настройках или уязвимые сети


Обнаружение «червя» и отчет

Оператор мгновенно получает уведомление о наличии «червя»

Система автоматически составляет список инфицированных серверов для отправки в карантин и лечения


Зачем использовать поглотители?

Потому что они работают! Операторы связи, предприятия и исследователи используют их в своих сетях для сбора и анализа данных

При накоплении опыта и внедрении новых технологий находятся и другие применения

Правильное построение поглотителей требует тщательных подготовительных операций


Вопросы и Ответы[email protected]

Documents

Реагирование на инциденты кибербезопасности