CESNET Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o. Služby e-infrastruktury CESNET
https://www.cesnet.cz/ Provozuje síť národního výzkumu a vzdělávání CESNET2 Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání Člen CZ.NIC, NIX.CZ, Géant, Internet2, Glif, Elixír... 2011 2015: Projekt Velká infrastruktura CESNET 2016 2020: pokračování projektu Velká infrastruktura CESNET
E infrastruktura CESNET
Společná komunikační infrastruktura IP/MPLS páteřní infrastruktura Primární IP síť 100 Gbps jádro Uzly Nx10 Gbps, 40 100 Gbps IPv4, IPv6, ucast, mcast
E Infrastruktura CESNET Externí propojení Sdílená IP E2E pro výzkum 30 Gbps GÉANT 91 Gbps IX a partneři 40 Gbps NIX.CZ 10 Gbps ACONET (VIX) 10 Gbps SANET (SIX) 10 Gbps PIONIER 10 Gbps AMS IX 10 Gbps Google 1 Gbps TWAREN 6 Gbps Tier 1 (Telia) 4x10 Gbps GÉANT Nx10 CBF ACONET, SANET, PIONIER 10 Gbps GLIF Cca 400tis uživatelů
Služby e infrastruktury CESNET IP konektivita připojení k e infrastruktuře Služby vyhrazených okruhů a sítí dedikované infrastruktury a propoje podle potřeb LIR, přidělování IPv4 a IPv6, DNS, relay Bezpečnostní služby sledování provozu sítě, FLAB, CESNET CERTS... MetaCentrum Datová úložiště dlouhodobé ukládání primárně vědeckých dat zálohy, archivace, sdílení dat... Podpora spolupráce využití sdružených výpočetních a datových zdrojů pro řešení velmi náročných úloh web/videokonference, IP telefonie, streaming, videoarchiv, s. obrazové přenosy, vizualizace Správa identit PKI & AAI, ssobní a serverové certifikáty, Virtuální servery Konzultace, školení, osvěta...
Česká republika Zákon o kybernetické bezpečnosti Projekt Fenix CESNET
ZKB Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (ZKB) tvorba od prosince 2011, NBÚ platný od srpna 2014 účinný od 1. ledna 2015 Prováděcí předpisy k ZKB (17. prosince 2014) Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) Vyhláška, kterou se stanoví významné informační systémy a jejich určující kritéria Novela nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury Dokumenty www.nbu.cz, www.govcert.cz
Účel ZKB Zajištění bezpečného fungování informační společnosti České republiky, tj. zajištění bezpečné realizace základního práva na informační sebeurčení prostřednictvím informačních systémů, služeb a sítí elektronických komunikací. Úprava nezasahuje do obsahového fungování informační společnosti, ale pouze si klade za cíl zabezpečit proti úmyslným nebo nahodilým kybernetickým bezpečnostním incidentům informační kanály, jimiž člověk realizuje své právo na informační sebeurčení a jimiž stát vykonává svá nedistributivní informační práva. Navrhovaná právní úprava nezakládá civilní ani trestní odpovědnost pachatelů kybernetických útoků, ale vytváří systém bezpečnostních opatření, která mají výskytu kybernetických bezpečnostních incidentů předcházet, resp. která mají zajistit, že případný kybernetický bezpečností incident neohrozí celkové fungování informačních a komunikačních systémů nebo fungování kriticky důležitých společenských informačních systémů.
Cíle ZKB Stanovit minimální požadavky na standardní zabezpečení kritické informační infrastruktury a významných informačních systémů Zajistit: Vládnímu CERT v reálném čase přehled o kybernetické bezpečnostní situaci v kritické informační infrastruktuře a ve významných informačních systémech Zajistit: Správcům kritické informační infrastruktury a významných informačních systémů: nepřetržitý kontakt s vládním CERT umožňující kvalitnější identifikaci kybernetických bezpečnostních rizik s původem mimo příslušný systém, službu nebo síť, efektivnější analýzu kybernetických bezpečnostních událostí a účinnější reakci na kybernetické bezpečnostní incidenty Zajistit: Ostatním subjektům: povinnost oznamovat kontaktní údaje pro případ vyhlášení stavu kybernetického nebezpečí spolupráce těchto subjektů se soukromoprávním národním CERT možnost využívat výhod vzájemné výměny informací o analýze kybernetických bezpečnostních událostí, o řešení kybernetických bezpečnostních incidentů, jakož i získávat metodickou podporu a pomoc odpovídající odborné úrovně
Povinné osoby 3 ZKB Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti: a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle písmene b), b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d), c) správce informačního systému kritické informační infrastruktury, d) správce komunikačního systému kritické informační infrastruktury a e) správce významného informačního systému.
Povinné osoby 3 ZKB Orgány a osoby, kterým se ukládají povinnosti v oblasti kybernetické bezpečnosti: a) poskytovatel služby elektronických komunikací a subjekt zajišťující síť elektronických komunikací, pokud není orgánem nebo osobou podle písmene b), b) orgán nebo osoba zajišťující významnou síť, pokud nejsou správcem komunikačního systému podle písmene d), c) správce informačního systému kritické informační infrastruktury, d) správce komunikačního systému kritické informační infrastruktury a e) správce významného informačního systému. Pojem významná síť (dle 2 ZKB) je definován tak, aby zahrnoval síť elektronických komunikací zajišťující přímé zahraniční propojení do veřejných komunikačních sítí nebo zajišťující přímé připojení ke kritické informační infrastruktuře.
Hlášení incidentů ZKB ( 8) (1) Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací 1). (2) Kybernetickým bezpečnostním incidentem je kybernetická bezpečnostní událost, která představuje narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb a sítí elektronických komunikací 1). (3) Povinné osoby uvedené v 3 písm. b) až e) jsou povinny detekovat kybernetické bezpečnostní události v jejich významné síti, informačním systému kritické informační infrastruktury, komunikačním systému kritické informační infrastruktury nebo významném informačním systému.
Hlášení incidentů vyhláška ZKB ( 31) Pro potřeby zvládání kybernetických bezpečnostních incidentů se podle následků a negativních projevů kybernetické bezpečnostní incidenty dělí do následujících kategorií a) Kategorie III velmi závažný kybernetický bezpečnostní incident, při kterém je přímo a významně narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být všemi dostupnými prostředky zabráněno dalšímu šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých i potenciálních škod. b) Kategorie II závažný kybernetický bezpečnostní incident, při kterém je narušena bezpečnost poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje neprodlené zásahy obsluhy s tím, že musí být vhodnými prostředky zabráněno dalšímu šíření kybernetického incidentu včetně minimalizace vzniklých škod. c) Kategorie I méně závažný kybernetický bezpečnostní incident, při kterém dochází k méně významnému narušení bezpečnosti poskytovaných služeb nebo informačních aktiv. Jeho řešení vyžaduje zásahy obsluhy s tím, že musí být vhodnými prostředky omezeno další šíření kybernetického bezpečnostního incidentu včetně minimalizace vzniklých škod.
3 ZKB Základní povinnosti a) Povinnosti stav kybernetického nebezpečí provádět reaktivní opatření vydaná NBÚ za stavu kybernetického nebezpečí nebo za nouzového stavu (oznámí kontaktní údaje podle 16 nejpozději do 30 (Ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění ústavního zákona č. dnů ode dne nabytí účinnosti tohoto zákona) 300/2000 Sb.) Možnost uplatnění rozhodnutí nebo opatření obecné povahy podle 13 Kontrola ze strany NBÚ, jak jsou tato opatření prováděna. hlásit kontaktní údaje národnímu CERT Základní povinnosti b) Povinnosti stav kybernetického nebezpečí hlásit kontaktní údaje národnímu CERT Hlásit kontaktní údaje národnímu CERT, detekovat (oznámí kontaktní údaje podle 16 nejpozději do kybernetické bezpečnostní události, hlásit 30 dnů ode dne nabytí účinnosti tohoto zákona) kybernetické bezpečnostní incidenty národnímu CERT, provádět reaktivní opatření vydaná NBÚ detekovat kybernetické bezpečnostní události hlásit kybernetické bezpečnostní incidenty národnímu CERT (tuto povinnost začnou plnit nejpozději do 1 roku ode21. dne účinnosti ZKB tj. 1.1.2016) CESNET, 6. nabytí 2016, Zlín
BO organizační a) systém řízení bezpečnosti informací, b) řízení rizik, c) bezpečnostní politika, d) organizační bezpečnost, e) stanovení bezpečnostních požadavků pro dodavatele, f) řízení aktiv, g) bezpečnost lidských zdrojů, h) řízení provozu a komunikací kritické informační infrastruktury nebo významného informačního systému, i) řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému, j) akvizice, vývoj a údržba kritické informační infrastruktury a významných informačních systémů, k) zvládání kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů, l) řízení kontinuity činností a m) kontrola a audit kritické informační infrastruktury a významných informačních systémů.
BO technická a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů.
Fenix Projekt NIX.CZ, fe.nix.cz Odpověď na (D)DoS útoky z 3/2013 Klub vzájemně důvěryhodných Původní název Bezpečná VLAN CZ uživatelé se potřebují dostat na CZ zdroje Možnost fungování v ostrovním režimu home banking, média, email... řešení poslední možnosti Vysoká kritéria pro vstup
Fenix Organizační podmínky Více než 6 měsíců členem NIX.CZ Aktivní účast na WG NIX.CZ Doporučení od 2 členů, žádné veto Převedení pravidel až na koncového uživatele 24x7 technický kontakt spam, attacks žádné IVR CSIRT team zalistovaný u úřadu Trusted Introducer
Fenix Technické podmínky BCP 38/SAC004 granularita /24 (/48) RTBH využívající RS IPv6, DNSSEC na důležitých doménách Plná redundance připojení do NIX.CZ Monitoring sítě (MRTG, NetFlow,...) Control plane policy RFC6192 DNS, NTP, SNMP amplification protection Reakční čas na bezpečnostní incident <30min BGP TCP MD5
CERT/CSIRT týmy v ČR CSIRT.CZ, Národní CSIRT ČR Založen v roce 2007 Provozován sdružením CZ.NIC https://www.csirt.cz/ GovCERT.CZ, Vládní CERT ČR Založen v roce 2011 Provozován NBÚ https://www.govcert.cz/ Sítě státní správy, samosprávy a kritické infrastruktury ČR 2CCSIRT Listed (since 15 Sep 2014) ACTIVE24 CSIRT Listed (since 09 Feb 2012) ALEF CSIRT Listed (since 29 Apr 2015) CASABLANCA.CZ CSIRT Listed (since 08 Mar 2014) CDT CERT Listed (since 16 Jul 2014) CESNET CERTS Accredited (since 27 Jan 2008) Coolhousing CSIRT Listed (since 17 Sep 2014) CS CSIRT Listed (since 11 Mar 2016) CSIRT Merit Listed (since 25 Mar 2015) CSIRT MU Certification Candidate (since 26 Nov 2015) CSIRT VUT Listed (since 20 May 2014) CSIRT.CZ Accredited (since 13 Oct 2011) CSOB Group CSIRT Listed (since 29 Oct 2014) CZ.NIC CSIRT Accredited (since 26 Aug 2010) DIAL CERT Listed (since 16 Dec 2013) FORPSI CSIRT Listed (since 19 Jul 2015) GOVCERT.CZ Accredited (since 21 Aug 2014) ISPA CSIRT Listed (since 13 Aug 2015) KAORA CSIRT Listed (since 04 Mar 2015) O2.cz CERT Listed (since 01 Jan 2014) SEBET Listed (since 25 Oct 2014) SEZNAM.CZ CSIRT Listed (since 18 Oct 2013) SOCA Listed (since 04 May 2016) WEB4U CSIRT Listed (since 19 Jul 2015) (24)
Spolupráce v ČR CESNET CZ.NIC, provozovatel národní domény.cz Pracovní skupina CESNET CSIRT, IPv6, VP Pracovní skupina CSIRT.CZ NIX.CZ, české peeringové centrum Projekt Fenix NBÚ, NCKB (Národní centrum kybernetické bezpečnosti) NCBI, Národní centrum bezpečnějšího internetu AFCEA, ISACA, EUNIS... Česká telekomunikační unie Pracovní skupina E CRIME Projekt Kraje Vysočina...
Strategie správy sítě CESNET2 v souvislosti s bezpečností Transparentní přístup Žádné zásahy/omezování legitimního provozu Nabídka služeb a nástrojů pro vlastní dohled a seberegulaci pro připojené organizace V případě problému se rozhodujeme na základě vyhodnocení konkrétní situace V případě ohrožení stability infrastruktury musíme zasáhnout V případě žádosti nastavujeme pro koncovou síť regulaci na páteři Připravené a otestované mechanismy pro zásah
Strategie správy e infrastruktury CESNET v souvislosti s bezpečností Gramotní a vysoce erudovaní správci Expertní týmy a pracoviště (Pracoviště Stálé Služby, Network Operation Centre, bezp. tým CESNET CERTS, Forenzní laboratoř) Kontinuální odborný, výzkumný a technologický rozvoj dle vývoje situace v oblasti bezpečnosti, služeb a potřeb CESNET2 Komplexní portfolio nástrojů a služeb pro monitoring, detekci anomálií, analýzu dat, mitigaci, sdílení Data ve vysoké kvalitě pro online i offline analýzu provozu a hrozeb Soulad se Zákonem o kybernetické bezpečnosti
CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..
Sledování provozu Co sledujeme: Informační využití: perimetr sítě, vstup, výstup informace o uskutečněném provozu IP provoz v páteři automatická detekce anomálií provoz od nás ven on the fly detekce útoků podvrhávání zdrojových adres odhalení podvržení adres verifikace, analýza bezpečnostních incidentů vzorky dat, ladění sítě provoz vybraných prvků infrastruktury (distribuované infrastruktury, např. Datová Úložiště, Gridy) klíčové služby (DSN, AAI) obrana sítě, služeb a uživatelů skenování portů, syn flood útoky systematické sledování provozu instituce útoky hrubou silou na ssh, SIP, DNS tunely náhled na provoz sítě DNS amplifikace, NTP, SNMP amplifikace zdraví, vytížení sítě anomální datové přenosy, paketové rychlosti architektura sítě, její optimalizace a rozvoj... on demand... statistiky provozu
Bezpečnost: služby Síťové sondy na perimetru sítě CESNET2 Systémy FTAS a G3 (plošný monitoring) Systémy pro sdílení informací SIEM systém Bezpečnostní tým CESNET CERTS Forenzní laboratoř Antispam Gateway Konzultace a pomoc při návrhu sítě a obrany Asistence při problému Vzdělávání, osvěta, (on demand) školení Pracoviště stálé služby, NOC dohled nad provozem sítě CESNET2 režim 24/7/365 } } STaaS (Security Tools as a Service) 420 2 2435 2994 support@cesnet.cz
https://flab.cesnet.cz/ Založena v roce 2011...... jako podpůrné pracoviště pro bezpečnostní tým CESNET CERTS analýza incidentů a hrozeb zvládání incidentů Dnes nabízí komplex služeb analýza bezpečnostního incidentu penetrační testy sítě a služeb zátěžové testy (odolnost proti DoS) sítě a služeb odborná analýza technologie, konzultace, školení
Antispam Gateway Služba zajišťuje nepřijetí (odmítnutí) nevyžádané pošty doručení ohodnocených zpráv na koncový poštovní server zprávy v případě nedostupnosti primárního příjemce podrží 5 dní, dle domluvy déle Parametry rozhodnutí spam/ham probíhá na koncovém serveru plní rovněž funkci záložního poštovního serveru (relay) antivirovou a antispamovou analýzu zpráv AG je monitorována Pracovištěm Stálé Služby v režimu 24/7 systematická kontrola provozu, uchovávání provozních informací (logování) možnost individuálních nastavení pro konkrétní doménu správce domény (organizace) má přístup logům Výhody Více domén > více zkušeností > větší účinnost Váš e mail provoz je v bezpečí Odpadají náklady na údržbu vlastní antispam ochrany
Asistence připojeným sítím Připojená síť má podezření, že něco není v pořádku Připojená síť je zdrojem problému (útoku) Připojená síť je cílem útoku (např. typu záplava) Objeví se plošný útok na uživatele (phishing nesoucí malware) Objeví se zranitelnost (HB, ShellShock) Konzultace, zhodnocení situace Ad hoc analýza síťového provozu Dlouhodobé systematické sledování podezřelého provozu Otestování zařízení v síti, identifikace nakažených zařízení Filtrace na hraně mezi sítí a páteří, dokud není odstraněna příčina Znemožnění komunikace nakažených strojů (v koncové síti)
Osvěta Semináře velký seminář každý rok začátkem února!securityfest! Školení (tématická) správa a zabezpečení DNS eduid.cz systém Perun (systém pro správu uživatelů a zdrojů) systém FTAS (on demand) IPv6 Školení (semináře) pro uživatele studenti zaměstnanci technici i netechnici
Gramotné používání výpočetní techniky jako nejlepší prevence Digitální stopa Současný vývoj bezpečnosti v oblasti IT směřuje stále více k uživatelům, kteří tak při své práci musí každý den čelit různým. Přednáška se zabývá základními bezpečnostními riziky, které uživatelům při práci s výpočetní technikou a službami dostupnými prostřednictvím internetu hrozí, popisuje nejčastější chyby, kterých se dopouštějí a také neznalosti, ze kterých chyby pramení. Jsou popsány základní principy péče o výpočetní prostředek, principy ochrany identity, soukromí a dat, vlastností základních aplikací typu e mail, prohlížeč apod. Stručně je probrána také oblast informační (digitální) stopy. Při používání počítačů a internetových online služeb za sebou každý den zanecháváme velmi silnou tzv. digitální stopu. Ta je složena z informací, které umožňují vysledovat činnost uživatele a získat o něm velké množství zajímavých informací např. kdy se do sítě připojil, kdy používal jakou službu, kdy a komu napsal e mail, kdy přistupoval na konkrétní www stránku. Co hůře ale také informace o tom, co dělal včera, co plánuje dělat zítra, kde je, kam jde atd. Některým digitálním stopám se vyvarovat nelze, ale za většinu z nich si můžeme sami svou činností v kombinaci s neznalostí. Přednáška demonstruje, kde všude po sobě tyto digitální stopy zanecháváme a proč a k čemu je možné informace z této digitální stopy využít. Aktuální kybernetické hrozby IT a legislativa V rámci prezentace jsou představeny a popsány aktuální kybernetické hrozby a útoky. Jedná se zejména o phishingové, ransomwarové a malwarové útoky, které se začaly objevovat v roce 2014, a které cílí na koncové uživatele. Posluchači jsou dále seznámeni s občansko a trestně právní odpovědností za jednání v kyberprostoru. Samostatná pozornost je věnována i problematice EULA, autorským právům a problematice sociálních sítí. Součástí prezentace jsou základní doporučení jak se chovat v prostředí Internetu, aby ne uživatel nestal obětí útoku nebo se nedopustil porušení legislativy. Přednáška představí vybrané pasáže z legislativy týkajících se prostředí Internetu, počítačových sítí a služeb. Je vysvětleno, jak na některé činy, kterých se jako uživatelé vědomě či nevědomě dopouštíme, pamatuje legislativa ČR a co by nám jako uživatelům mohlo hrozit, když spácháme např. bezpečnostní incident, nebo se staneme nedobrovolnými účastníky kybernetického útoku.
Děkuji za pozornost. Andrea Kropáčová, andrea@cesnet.cz
Kontakty http://www.cesnet.cz/ http://eduroam.cz http://eduid.cz sluzby@cesnet.cz komunikace o službách poskytovaných sdružením CESNET info@cesnet.cz obecný komunikační kanál support@cesnet.cz kontakt na Pracoviště stálé služby (dohledové centrum) pro hlášení a řešení provozních problémů