CESNET Day. Bezpečnost

CESNET Day Bezpečnost CESNET, z. s. p. o. Služby e-infrastruktury CESNET

https://www.cesnet.cz/ Provozuje síť národního výzkumu a vzdělávání CESNET2 Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015: Projekt Velká infrastruktura CESNET 2016 2020: pokračování projektu Velká infrastruktura CESNET

E infrastruktura CESNET

CESNET a CESNET2 Externí propojení Sdílená IP 30 Gbps GÉANT 91 Gbps IX a partneři 40 Gbps NIX.CZ 10 Gbps ACONET (VIX) 10 Gbps SANET (SIX) 10 Gbps PIONIER 10 Gbps AMS IX 10 Gbps Google 1 Gbps TWAREN 6 Gbps Tier 1 (Telia) E2E pro výzkum 4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF Člen sdružení CZ.NIC, NIX.CZ, projektu Fenix Cca 400tis uživatelů

Strategie správy sítě CESNET2 v souvislosti s bezpečností Transparentní přístup Žádné zásahy/omezování legitimního provozu Nabídka služeb a nástrojů pro vlastní dohled a seberegulaci pro připojené organizace V případě problému se rozhodujeme na základě vyhodnocení konkrétní situace V případě ohrožení stability infrastruktury musíme zasáhnout V případě žádosti nastavujeme pro koncovou síť regulaci na páteři Připravené a otestované mechanismy pro zásah

Strategie správy e infrastruktury CESNET v souvislosti s bezpečností Gramotní a vysoce erudovaní správci Expertní týmy a pracoviště (Pracoviště Stálé Služby, Network Operation Centre, bezp. tým CESNET CERTS, Forenzní laboratoř) Kontinuální odborný, výzkumný a technologický rozvoj dle vývoje situace v oblasti bezpečnosti, služeb a potřeb CESNET2 Komplexní portfolio nástrojů a služeb pro monitoring, detekci anomálií, analýzu dat, mitigaci, sdílení Data ve vysoké kvalitě pro online i offline analýzu provozu a hrozeb Soulad se Zákonem o kybernetické bezpečnosti

Aktuální trendy Cílené útoky na uživatele Krátké, ale intenzivní DoS útoky Útoky na bázi amplifikace Více útoků > Více bezpečnostních nástrojů > více dat a informací Směr vývoje... Schopnost včas zasáhnout (reaktivní > proaktivní, automatizace) Semi automatická obrana na bázi spolehlivé detekce Eliminace zařízení náchylných na amplifikaci Data lepší sběr, validace, klasifikace, analýza, obohacení, distribuce

Služby

Bezpečnost: služby Síťové sondy na perimetru sítě CESNET2 Systémy FTAS a G3 (plošný monitoring) Systémy pro sdílení informací SIEM systém Bezpečnostní tým CESNET CERTS Forenzní laboratoř Antispam Gateway Konzultace a pomoc při návrhu sítě a obrany Asistence při problému Vzdělávání, osvěta, (on demand) školení Pracoviště stálé služby, NOC dohled nad provozem sítě CESNET2 režim 24/7/365 } } STaaS (Security Tools as a Service) 420 2 2435 2994 support@cesnet.cz

CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Infrastruktura v oblasti bezpečnosti Sledování infrastruktury a provozu souvislé, plošné HW akcelerované sondy Bezeztrátové a detailní měření síťových dat na volitelné úrovni detailu, tunelovaný provoz, detailně HTTP, DNS, SIP Užitečné pro ruční analýzu, možnost vyčlenit provoz Statistiky, zdroj dat a informací pro další výzkum G3 prvky infrastruktury kompletní provoz na externích linkách sběr informací (SNMP a další způsoby) nejen ze síťových prvků e infrastruktury (200+ zařízení) FTAS IP provoz Zpracování Informací o IP provozu na bázi toků (flow záznamy) 20 uzlů v primární instalaci, 400 jader, cca 180TB storage, TTL dat >= 62 dní Zdroje dat z páteře i z připojených sítí IDS, IPS systémy, honeypoty, chytré krabičky... bezpečnostní události (scan, hádání hesel, zranitelnosti...)

Sledování provozu Co sledujeme: Informační využití: perimetr sítě, vstup, výstup informace o uskutečněném provozu IP provoz v páteři automatická detekce anomálií provoz od nás ven on the fly detekce útoků podvrhávání zdrojových adres odhalení podvržení adres verifikace, analýza bezpečnostních incidentů vzorky dat, ladění sítě provoz vybraných prvků infrastruktury (distribuované infrastruktury, např. Datová Úložiště, Gridy) klíčové služby (DSN, AAI) obrana sítě, služeb a uživatelů skenování portů, syn flood útoky systematické sledování provozu instituce útoky hrubou silou na ssh, SIP, DNS tunely náhled na provoz sítě DNS amplifikace, NTP, SNMP amplifikace zdraví, vytížení sítě anomální datové přenosy, paketové rychlosti architektura sítě, její optimalizace a rozvoj... on demand... statistiky provozu

Flow based Traffic Analysis System Služba: Možnost 1: primární instalace FTAS v e infrastruktuře CESNET pro zpracování provozních informací z koncové sítě Možnost 2: dedikovaná instalace FTAS pro síť uživatele (provozní informace z vnitřní sítě uživatele)

GUI Komplexní vyhledávací a vizualizační aparát v rámci interaktivního UI A) zpracování a zpřístupnění informací o IP provozu B) periodický reporting požadovaných signifikantních charakteristik provozu C) detekce a notifikace anomálií

GUI Komplexní vyhledávací a vizualizační aparát v rámci interaktivního UI A) zpracování a zpřístupění informací o uskutečněném provozu

GUI Komplexní vyhledávací a vizualizační aparát v rámci interaktivního UI B) periodický reporting požadovaných signifikantních charakteristik provozu

GUI Komplexní vyhledávací a vizualizační aparát v rámci interaktivního UI C) Detekce a notifikace anomálií provozu

GUI Komplexní vyhledávací a vizualizační aparát v rámci interaktivního UI Detekce a notifikace anomálií provozu Příklad: Vymezení provozu: zdrojová IP z 147.228.0.0/16 a cílové porty 22,23,445,. Základní limit: maximálně 5 toků ke zdrojové adrese během 5 vteřin Časový interval (delší): 1 hodina Limit pro časový interval: flowcnt>100 or src_port_cnt>50 or dst_ip_cnt>50

Shrnutí Zpracování a zpřístupnění dat o IP provozu dohledání provozu v rámci řešení incidentů, anomálií, útoků apod. Detekce bezpečnostních událostí (anomálií) na klíč (na úrovni síťového IP provozu), příp. dalších anomálií provozu Notifikace detekovaných bezpečnostních událostí na příslušná dohledová pracoviště nebo do systému sdílené obrany Možnosti realizace služby (mírná omezení) z provozních informací z nadřazených sítí (bez nutnosti konfigurovat cokoli ve vlastní síti) Naplnění povinností dle ZKB

, https://warden.cesnet.cz Systém pro efektivní sdílení informací o bezp. incidentech Komunitní přístup (aka budujme bezpečnost společně ) Tvoje data jsou dostupná celé Warden komunitě Data celé komunity jsou dostupná Tobě Client/server architektura (transport, ne naskladnění dat) Zasílající a odebírající klienti Událost (event) Bezpečnost X509 encryption sanity checks peer review IDEA formát

SIEM Skladiště informací Zpracovává data (události) z Warden a od třetích stran (N6, ShadowServer,...) Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Reporty zasílá do koncových sítí (abuse@...) Podpůrný nástroj CESNET CERTS a bezpečnostní týmy připojených organizací WWW rozhraní pro správce z koncových sítí Možnost ovlivnit jak a kdy reporty dostávat a co chci dostávat Detaily reportů Globální dahsboardy Statistiky

Statistiky sběr informací o provozu z páteřních prvků a připojených sítí 50 primárních zdrojů, 20 z páteře, 30 z koncových sítí 400 core, ~180TB dat, TTL dat >= 62 dní cca 1,1 mil událostí za den cca 60 reportů denně, cca 300 týdně (na cca 320 připojených organizací)

STaaS Security Tools as a Service Komplex bezpečnostních služeb na míru FTAS G3 síťová sonda HaaS (Honeypot As a Service)... Mentat (reporting) HaaS tlusté a tenké řešení primární nebo dedikovaná instance systému Warden Kipo, Dionea,...

CESNET CERTS http://csirt.cesnet.cz, certs@cesnet.cz, abuse@cesnet.cz 341D 3EB0 0160 941F 6A06 4401 F9BF C741 9CAA 8579 +420 2 2435 2994 Vznik 2004, akreditace u TI v roce 2008 Koordinační + interní tým Pole působnosti CESNET2 (AS2852) Základní služba: řešení a koordinace řešení bezpečnostních incidentů v CESNET2 Mailing list csirt forum@cesnet.cz Pracovní skupina CESNET CSIRT

https://flab.cesnet.cz/ Založena v roce 2011...... jako podpůrné pracoviště pro bezpečnostní tým CESNET CERTS analýza incidentů a hrozeb zvládání incidentů Dnes nabízí komplex služeb analýza bezpečnostního incidentu penetrační testy sítě a služeb zátěžové testy (odolnost proti DoS) sítě a služeb odborná analýza technologie, konzultace, školení

Analýza incidentu Přináší mnoho užitečných informací Vyžaduje patřičné experty Není úplně levná (malá pracoviště nemají kapacitu) Lze využít externí zdroje Členské sítě konzultace incidentů s CESNET CERTS Možnost využít služeb FLAB

Analýza bezpečnostního incidentu Schéma spolupráce CSIRT FLAB CSIRT Incident (problém) Potřeba informací Otázky Umí poskytnout Podklady Informace Forenzní analytik Znalosti Analýza Odpovědi Postup

Penetrační testy Cíl: Hledání chyb a zranitelností nikoliv potvrzení bezchybnosti (audit) Co by mělo být v centru zájmu správců lze infrastrukturu zneužít pro další útoky? lze získat, poškodit, smazat data, systémy, služby? integrita, dostupnost, důvěrnost lze získat autentizační údaje uživatelů? existují v prostředí zneužitelné zranitelnosti? kde udělal administrátor chybu při konfiguraci? co by mělo/mohlo být zabezpečeno lépe a efektivněji?...

Penetrační testy Průběh: 1. fáze: zadání: specifikace požadavků, očekávání, rozsahu prací 2. fáze: aktivity v síti zadavatele scan sítě sběr dat testování specifikovaných služeb 3. fáze: následné zpracování dat, nálezů a zjištění návrh a formulace doporučení vytvoření a validace závěrečné zprávy Závěrečná zpráva & workshop přehled provedených testů zhodnocení výsledků doporučení nápravy

Zátěžové testy Cíl: Testování odolnosti služby (www, DNS) Sekundární efekt testování odolnosti sítě a obranných prvků Průběh specifikace: cíle, požadavky a očekávání, pravidla, režim průzkum terénu (ve spolupráci se správcem testované sítě) návrh průběhu testů kalibrace nástrojů a prostředí výběr termínu provedení testů vyhodnocení výsledků Závěrečná zpráva & workshop přehled provedených testů vyhodnocení výsledků doporučení vhodných úprav

Penetrační testování od FLABu je druhá nejlepší věc, kterou lze udělat pro zabezpečení infrastruktury datových úložišť CESNET. Tou první by bylo odpojit ji od sítě. David Antoš, vedoucí oddělení datových úložišť CESNET

Antispam Gateway Služba zajišťuje nepřijetí (odmítnutí) nevyžádané pošty antivirovou a antispamovou analýzu zpráv doručení ohodnocených zpráv na koncový poštovní server Parametry Plní rovněž funkci relay (zprávy podrží 5 dní, dle domluvy déle) Je monitorována Pracovištěm Stálé Služby v režimu 24/7 Systematická kontrola provozu Uchovávání provozních informací (logování) (rozhodnutí spam/nespam probíhá na koncovém serveru) Možnost individuálních nastavení pro konkrétní doménu Správce domény (organizace) má přístup logům Výhody Více domén > více zkušeností > větší účinnost Váš e mail provoz je v bezpečí Odpadají náklady na údržbu vlastní antispam ochrany

Co jsme schopni udělat, když... Máte podezření, že něco není v pořádku ad hoc analýza provozu konzultace, zhodnocení situace dlouhodobé systematické sledování podezřelého provozu Jste zdrojem problému (útoku) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina pomoc s odstraněním problému Jste cílem útoku (např. typu záplava) ad hoc analýza provozu filtrace na hraně mezi sítí a páteří, případně na perimetru sítě

Co jsme schopni udělat, když... Objeví se plošný útok na uživatele (phishing nesoucí malware) analýzu incidentu (malware) vydat doporučení, co dělat (csirt forum@) identifikovat nakažené stroje v síti zabránit komunikaci nakažených strojů (v koncové síti) Objeví se zranitelnost (HB, ShellShock) otestování prvků v koncové síti analýza provozu dostupnými metodami, vytvořenými nástroji rychlou úpravou sondy Chcete zjistit, jak na tom vaše síť je (prevence) penetrační testy zátěžové testy } na žádost, ne automaticky

Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock) Konzultace, zhodnocení situace Ad hoc analýza síťového provozu Dlouhodobé systematické sledování podezřelého provozu Otestování zařízení v síti, identifikace nakažených zařízení Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Znemožnění komunikace nakažených strojů (v koncové síti)

Osvěta Semináře velký seminář každý rok začátkem února honeypoty Školení (tématická) Správa a zabezpečení DNS eduid.cz Systém Perun (systém pro správu uživatelů a zdrojů) Systém FTAS (on demand) IPv6 Školení pro uživatele studenti zaměstnanci

Gramotné používání výpočetní techniky jako nejlepší prevence Digitální stopa Současný vývoj bezpečnosti v oblasti IT směřuje stále více k uživatelům, kteří tak při své práci musí každý den čelit různým. Přednáška se zabývá základními bezpečnostními riziky, které uživatelům při práci s výpočetní technikou a službami dostupnými prostřednictvím internetu hrozí, popisuje nejčastější chyby, kterých se dopouštějí a také neznalosti, ze kterých chyby pramení. Jsou popsány základní principy péče o výpočetní prostředek, principy ochrany identity, soukromí a dat, vlastností základních aplikací typu e mail, prohlížeč apod. Stručně je probrána také oblast informační (digitální) stopy. Při používání počítačů a internetových online služeb za sebou každý den zanecháváme velmi silnou tzv. digitální stopu. Ta je složena z informací, které umožňují vysledovat činnost uživatele a získat o něm velké množství zajímavých informací např. kdy se do sítě připojil, kdy používal jakou službu, kdy a komu napsal e mail, kdy přistupoval na konkrétní www stránku. Co hůře ale také informace o tom, co dělal včera, co plánuje dělat zítra, kde je, kam jde atd. Některým digitálním stopám se vyvarovat nelze, ale za většinu z nich si můžeme sami svou činností v kombinaci s neznalostí. Přednáška demonstruje, kde všude po sobě tyto digitální stopy zanecháváme a proč a k čemu je možné informace z této digitální stopy využít. Aktuální kybernetické hrozby IT a legislativa V rámci prezentace jsou představeny a popsány aktuální kybernetické hrozby a útoky. Jedná se zejména o phishingové, ransomwarové a malwarové útoky, které se začaly objevovat v roce 2014, a které cílí na koncové uživatele. Posluchači jsou dále seznámeni s občansko a trestně právní odpovědností za jednání v kyberprostoru. Samostatná pozornost je věnována i problematice EULA, autorským právům a problematice sociálních sítí. Součástí prezentace jsou základní doporučení jak se chovat v prostředí Internetu, aby ne uživatel nestal obětí útoku nebo se nedopustil porušení legislativy.click to add Text Přednáška představí vybrané pasáže z legislativy týkajících se prostředí Internetu, počítačových sítí a služeb. Je vysvětleno, jak na některé činy, kterých se jako uživatelé vědomě či nevědomě dopouštíme, pamatuje legislativa ČR a co by nám jako uživatelům mohlo hrozit, když spácháme např. bezpečnostní incident, nebo se staneme nedobrovolnými účastníky kybernetického útoku.

Cíle pro další období Služby RTBH as a Service HaaS (Honeypot as a Service) Passive DNS Reputační databáze Semináře IPv6 Kyberkriminalita Projekty: SABU, DCPro, DOBI, SecurityCloud, PROTECTIVE další a kvalitnější informace k incidentům rozvoj detekčních nástrojů, reakce na aktuální kybernetické hrozby vývoj konfiguračního nástroje pro jednoduchou mitigaci útoků semi automatická obrana

Shrnutí Vyvíjíme a provozujeme technologie, nástroje a mechanismy pro zajišťování bezpečnosti páteře a připojených organizací Poskytujeme řadu služeb (nejen) v oblasti bezpečnosti Správa a zabezpečení sítě CESNET2 je založena na gramotnosti správců, zdravém rozumu a spolupráci expertních týmů CESNET CERTS PSS NOC FLAB Sbíráme zajímavá data a dělíme se o ně Máme know how a dělíme se o něj

Děkuji za pozornost. Andrea Kropáčová, andrea@cesnet.cz

Kontakty http://www.cesnet.cz/ http://eduroam.cz http://eduid.cz sluzby@cesnet.cz komunikace o službách poskytovaných sdružením CESNET info@cesnet.cz obecný komunikační kanál support@cesnet.cz kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů