SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Podobné dokumenty
Phishingové útoky v roce 2014

Strategie sdružení CESNET v oblasti bezpečnosti

Role forenzní analýzy

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Projekty a služby sdružení CESNET v oblasti bezpečnosti

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Analýza malware pro CSIRT

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Seminář o bezpečnosti sítí a služeb

Podvodné zprávy jako cesta k citlivým datům

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

SÍŤOVÁ INFRASTRUKTURA MONITORING

CESNET Day. Bezpečnost

CESNET Day. Bezpečnost

Bezpečnost aktivně. štěstí přeje připraveným

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Koncept BYOD. Jak řešit systémově? Petr Špringl

CESNET. Andrea Kropáčová, CESNET, z. s. p. o. Služby e-infrastruktury CESNET

AKTUÁLNÍ KYBERNETICKÉ HROZBY

CESNET Day. Bezpečnost

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Zpracování dat z bezpečnostních nástrojů

Kybernetické hrozby - existuje komplexní řešení?

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

Flow monitoring a NBA

Efektivní sdílení informací

Flow Monitoring & NBA. Pavel Minařík

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

FlowMon Vaše síť pod kontrolou

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

PB169 Operační systémy a sítě

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Monitorování datových sítí: Dnes

Nejčastější podvody a útoky na Internetu. Pavel Bašta

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Trnitá cesta Crypt0l0ckeru

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Služby e-infrastruktury CESNET

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Phishing. Postup při řešení incidentu. Aleš Padrta Radomír Orkáč , Seminář o bezpečnosti, Praha

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Národní bezpečnostní úřad

Kybernetické hrozby jak detekovat?

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Koncept. Centrálního monitoringu a IP správy sítě

Budování CERT/CSIRT v organizaci. Andrea Kropáčová / andrea@nic.cz 31. března 2015

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Flow monitoring a NBA

Aktivní bezpečnost sítě

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

tzv. reportování bezpečnostních incidentů,

Flow monitoring a NBA

FlowMon ADS praktické aplikace a případové studie. Pavel Minařík INVEA-TECH, a.s.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Aby vaše data dorazila kam mají. Bezpečně a včas.

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

BEZPEČNOSTNĚ PROVOZNÍ KALEIDOSKOP

BEZPEČNOSTNÍ MONITORING SÍTĚ

Úvod - Podniková informační bezpečnost PS1-2

Přínos forenzní laboratoře při řešení rozsáhlého bezpečnostního incidentu. Karel Nykles

Bezpečnost síťové části e-infrastruktury CESNET

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

Zákon o kybernetické bezpečnosti: kdo je připraven?

FlowMon Monitoring IP provozu

Trnitá cesta Crypt0L0ckeru

CESNET, jeho e-infrastruktura a služby

Pavel Titěra GovCERT.CZ NCKB NBÚ

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Představení Kerio Control

Výzkum v oblasti kybernetické bezpečnosti

Jak se ztrácí citlivá data a jak tato data ochránit?:

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Firewall, IDS a jak dále?

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

eduroam v kostce aneb šest pohledů na mobilní wifi CESNET Day v Liberci

Provedení testů sociálního inženýrství tsi-cypherfix2018

Jak se ztrácí citlivá data a jak tato data ochránit?:

KYBERBEZPEČNOST POHLEDEM MV ČR

Proč prevence jako ochrana nestačí? Luboš Lunter

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Internet a technologie 09

IT bezpečnost Phishing. Školení pro uživatele sítě WEBnet

Co vše přináší viditelnost do počítačové sítě?

Transkript:

SOC e-infrastruktury CESNET Andrea Kropáčová CESNET, z. s. p. o.

Provozuje síť národního výzkumu a vzdělávání CESNET2 https://www.cesnet.cz/ Připojeno 27 členů (české VŠ, Akademie věd ČR) a cca 280 dalších organizací K e-infrastruktuře CESNET se mohou připojit instituce, které se zabývají Hlavní cíle: vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e-infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015: Projekt Velká infrastruktura CESNET 2016 2020: pokračování projektu Velká infrastruktura CESNET Člen sdružení CZ.NIC, NIX.CZ, Pracovní skupiny CSIRT.CZ, projektu Fenix...

Síť CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

CESNET: komponenty SOC CESNET-CERTS bezpečnostní tým pro dohled nad e-infrastrukturou CESNET csirt.cesnet.cz Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7

CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř analýza bezpečnostních incidentů, penetrační a zátěžové testy flab.cesnet.cz NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7

CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) správa páteřní sítě CESNET2 24/7 PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7

CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) www.cesnet.cz/kontakty 24/7

CESNET: komponenty SOC CESNET-CERTS základní služba: zvládání incidentu Forenzní laboratoř základní služba: detailní analýza bezpečnostního incidentu NOC (Network Operation Centre) základní služba: řešení provozních a bezpečnostních problémů na úrovni sítě PSS (Pracoviště stálé služby) základní služba: support, koordinace řešení problémů, komunikace s uživateli

Use-case: Podvodné e-maily

Nadpis stránky Ukázka Úrovně Odrážek

Use-case: podvodné e-maily Podvodné e-maily (scam podvod) Ve větší míře pozorujeme od roku 2014 Level 1 (phishing) lákání credentials jako odpověď na e-mail Milášek zákazník, pošlat vaše heslo a čislo boty... Level 2 (phishing) Malware smlouva Bankovní data Malware exekuce Zásilka České pošty Vánoční pohlednice Srážky z účtu Malware objednávka Přístup do KB... přesměrování na podvodnou stránku Náš klient, zkontrolovat si stav účet na www... Level 3 (scam) závadná příloha Vážený pane, zaplať nebo přijde exekutor... pohledávka popsána v příloze.

Use-case: podvodné e-maily Společné znaky nátlak (sociální inženýrství) vhodné načasování pretexting (mluví se o faktuře v příloze MUSÍ BÝT faktura) Problém obcházení technických opatření kličkování před spamfiltrem např. přílohy v archivu zaheslovány přesvědčivost uživatel nakonec reaguje

Co se s tím dá dělat?

Prevence Vzdělaní uživatelé Řešení pro kulové uživatele ve vakuu Snaha vzdělávat (směřovat k ideálu)t Technické prostředky Filtrování pošty Generický závadný obsah Filtrování spustitelných příloh Není 100% + soukromé schránky Restrikce v systému zabezpečení stanic Antivirová řešení, Host IPS, Restrikce v síťovém provozu FW, blokace nepotřebných portů

Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)

Zkomplikovat další příjem Specifický spamfiltr Zkomplikovat malware spuštění Smazat z e-mailových schránek Konkrétní pravidla v HIPS/AV řešení Informovat uživatele Reakce na konkrétní vlnu Minimalizovat dopady Zakázat odchozí poštu na reply-to pro Level 1 Blokovat URL pro podvržené stránky pro Level 2 Blokovat na perimetru spojení s IP C&C / dropzóny Identifikovat kompromitované stanice Lokálně (souborový systém, registry) Podle síťového provozu (netflow, sondy, PassiveDNS...) Potřebujeme informace: Co malware v systému dělá? Jak poznat kompromitovanou stanici Lokálně (filesystem, registry, běžící procesy) Síťové chování (netflow) Jak můžeme malware ztížit život Doručení uživateli Spuštění Komunikace s C&C Identifikovat dopady kompromitace Lokální (odchycení hesel, změna, smazání, krádež dat) Dosah mimo pracovní stanici (změny v IS, šíření přes datové úložiště, sdílení...)

Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení BI Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??

Work-flow řešení BI PSS NOC NOC Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu Kdy? Co? Jak? Kde? Kudy??

incidentu Schéma spolupráce CSIRT FLAB CSIRT Incident (problém) Potřeba informací Otázky Umí poskytnout Podklady Informace Forenzní analytik Znalosti Odpovědi Postup

Nadpis stránky Ukázka Úrovně Odrážek

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Work-flow řešení kampaně podvodný mail Uživatelům Jsou adresovány podvodné maily s přílohou, ve které je malware. Kterým uživatelům mail přišel, kdo se nakazil, jak je můžeme identifikovat, jak NOC můžeme zjednat nápravu? zajištěného malware! Jaká je aktivita malware? Omezení provozu na perimetru sítě. NOC Výslech kompromitovaných uživatelů, revokace hesel, komunikace s uživateli... PSS Stop komunikace s C&C. Malware obsahuje keylogger, nakažený počítač se pozná tak a tak, nakažený počítač komunikuje s x.y.z.y... Identifikace nakažených zařízení, vyrozumění uživatelů a správců. Kdo komunikuje s C&C? Detekce incidentu Minimalizace následků incidentu Reakce Návrat k normálu

Plány pro zvládání rozsáhlých útoků Běžní uživatelé + chytrý podvod = hodně práce desítky, stovky kompromitovaných PC...... je ohrožující pro infrastrukturu jako celek Připravený a otestovaný reakční plán Dohled a plánování Sdílené úložiště, dohledový manažer Notifikace uživatelů Získat vzorky malware pro analýzu Identifikovat a zablokovat útočný vektor Identifikovat a napravit kompromitované stanice Globální náprava (revokace hesel, certifikátů,...)

Shrnutí SOC napříč organizací zapojení expertních jednotek spolupráce Připravenost! Prevence Reakce Plány na řešení rozsáhlých incidentů CESNET: PSS, NOC Gramotní správci Nástroje a technologie

Děkujeme za pozornost. Andrea Kropáčová CESNET, z. s. p. o. andrea@cesnet.cz 16. února 2011

Použité zdroje: www.lupa.cz www.root.cz www.viry.cz www.hoax.cz www.ceskaposta.cz www.kb.cz www.clker.com humanodyssey.blog.cz www.uidaho.edu oithelp.nd.edu pixabay.com dilbert.znojmo.net opencliart.org

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář