Upload
cesnet
View
74
Download
0
Embed Size (px)
Citation preview
PROKIPRedikce a Ochrana před Kybernetickými Incidenty
Pavel Bašta • [email protected] • 08.02.2016
CZ.NIC, z.s.p.o.
● Hlavní činnost správa doménových jmen .CZ
CSIRT.CZ
● Národní CSIRT tým pro ČR
● Založen v rámci plnění grantu MV ČR „Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky“ (2007 – 2010)
● V letech 2008 – 2010 provozován sdružením CESNET
● CZ.NIC provozuje pracoviště CSIRT.CZ od 1.1.2011
● Status „akreditovaný“ u TI
● Aktuálně 8 stálých členů týmu, další zdroje dle potřeby
● Vznik na základě Memoranda s MV ČR, poté s NBÚ
● Nyní veřejnoprávní smlouva
● www.csirt.cz
CSIRT.CZ
● Hlavní náplň činnosti
● Řešení bezpečnostních incidentů● Vzdělávání a osvěta● Pracovní skupiny● Prevence
– Honeypoty– Skener webu– MDM– Zátěžové testy
Motivace PROKI
● Potřeba automatizovaně rozesílat informace o bezpečnostních incidentech týkajících se sítí v ČR
● Veřejné i neveřejné zdroje● Služba pro správce z koncových sítí
● Potřeba hlubšího pochopení významu incidentů
● Turris router● Pochopení již známých incidentů → Identifikace
dosud nezjištěných problémů● Identifikace problematických IP
Části systému
● Sběr bezpečnostních incidentů
● IntelMQ– Open source– Snadná tvorba vlastních modulů– Důraz na modularitu– Možnost obohacování dat
● Upozorňování subjektů
● Pouze informace relevantní pro ČR
Části systému
● Agregace informací do jedné zprávy
● Trvalé úložiště a analýza událostí
● Elasticsearch– Dlouhodobé uložení dat– Jednoduché analytické funkce– Další obohacení dat (PassiveDNS, proces IH,
Virustotal.com, IP reputační systémy) → vyhledávání vztahů mezi incidenty, dohledávání dalších souvislostí, historie incidentů na IP adrese
Děkuji za pozornost
Pavel Bašta • [email protected]