Efektivní sdílení informací

Podobné dokumenty
Zpracování dat z bezpečnostních nástrojů

Efektivní sdílení informací

Projekt SABU. Sdílení a analýza bezpečnostních událostí

Mentat, systém pro zpracování informací z bezpečnostních nástrojů. Jan Mach

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Efektivní sdílení informací o bezpečnostních událostech

Strategie sdružení CESNET v oblasti bezpečnosti

SOC e-infrastruktury CESNET. Andrea Kropáčová CESNET, z. s. p. o.

Analýza dat z Wardenu

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

CESNET Day. Bezpečnost

Václav Bartoš, Martin Žádník. Schůze partnerů SABU

CESNET Day. Bezpečnost

CESNET Day AV ČR. bezpečnostní služby & infrastrukturní služby

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

CESNET Day. Bezpečnost

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Projekty a služby sdružení CESNET v oblasti bezpečnosti

SÍŤOVÁ INFRASTRUKTURA MONITORING

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Seminář o bezpečnosti sítí a služeb

Bezpečnost aktivně. štěstí přeje připraveným

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Zápis z valné hromady CZ.NIC, z. s. p. o., konané elektronickým hlasováním na v období

Flow Monitoring & NBA. Pavel Minařík

FlowMon Monitoring IP provozu

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

Sledování provozu sítě

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz

Flow monitoring a NBA

Koncept BYOD. Jak řešit systémově? Petr Špringl

Nové TLD. Letem světem Petr Komárek

Implementace a monitoring IPv6 v e-infrastruktuře CESNET

Kybernetické hrozby - existuje komplexní řešení?

Accelerate your ambition

Služby e-infrastruktury CESNET

Flow monitoring a NBA

Obsah. O sdružení Profil sdružení 4 Poslání sdružení 4 Historický vývoj 6 Datový tok 6 Slovo předsedy představenstva 8 Slovo ředitele sdružení 9

Proč prevence jako ochrana nestačí? Luboš Lunter

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

FlowMon Vaše síť pod kontrolou

Inteligentní analýza bezpečnostních událostí (iabu)

Václav Bartoš. Meeting projektu SABU , Vranovská ves

Firewall, IDS a jak dále?

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Aktivní bezpečnost sítě

Pavel Titěra GovCERT.CZ NCKB NBÚ

Datová úložiště CESNET

BEZPEČNOSTNÍ MONITORING SÍTĚ

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

CESNET & Bezpečnost. CESNET, z. s. p. o. Služby e-infrastruktury CESNET

Seminář IBM - partnerský program a nabídka pro MSPs

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Koncept. Centrálního monitoringu a IP správy sítě

Výzkum v oblasti kybernetické bezpečnosti

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Trend Micro - základní informace o společnosti, technologiích a řešeních

List1. Tel. čísla Počet tel. čísel Firma IČ

IBM Cloud computing. Petr Leština Client IT Architect. Michal Votava IBM GTS Cloud Sales. Přehled IBM služeb v cloudu IBM Corporation

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Firewall, IDS a jak dále?

Kybernetické hrozby jak detekovat?

Ruční aparáty pro vázání plastovou páskou

DOHLEDOVÉ CENTRUM egovernmentu SOCCR 10 12/6/2015 (Security Operation Center for Cyber Reliability)

Rozvoj IDS s podporou IPv6

Praktické ukázky, případové studie, řešení požadavků ZoKB

Monitorování datových sítí: Dnes

Zahraniční hosté v hromadných ubyt. zařízeních podle zemí / Foreign guests at collective accommodation establishments: by country 2006*)

Real Estate Investment 2019

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

DATOVÁ ÚLOŽIŠTĚ. David Antoš CESNET

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Provozně-bezpečnostní monitoring datové infrastruktury

Benefity a úskalí plošného souvislého sledování IP provozu na bázi toků při řešení bezpečnostních hlášení

Jak využít NetFlow pro detekci incidentů?

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Váš partner ve světě vysokorychlostních sítí Bezpečnostní a monitorovací řešení pro sítě do 10 Gb/s

Zkušenosti z nasazení a provozu systémů SIEM

Představení e-infrastruktury CESNET Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

Detekce volumetrických útoků a jejich mi4gace v ISP

FlowMon. Pokročilá analýza Cisco NetFlow pomocí řešení FlowMon. INVEA-TECH a.s.

PB169 Operační systémy a sítě

Flow monitoring a NBA

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

Phishingové útoky v roce 2014

Analýza bezpečnostních rizik počítačové sítě pomocí NetFlow

Bezpečnostní projekt Případová studie

Petr Velan. Monitorování sítě pomocí flow case studies

InternetovéTechnologie

FlowMon 8.0. Představení novinek v řešení FlowMon. Petr Špringl, Jan Pazdera {springl pazdera}@invea.com

Co se skrývá v datovém provozu?

FR CESNET Závěrečná zpráva

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

AXA 18/12/2014 Page 1

E l e k t r o n i c k é o v l a d a č e s p o j k y

Transkript:

Efektivní sdílení informací Zpracování dat z bezpečnostních nástrojů & reporting CESNET, z. s. p. o. Andrea Kropáčová andrea@cesnet.cz

http://www.cesnet.cz/ Provozuje síť národního výzkumu a vzdělávání CESNET2 Založen v roce 1996 Připojeno 27 členů (české VŠ, AV ČR) a cca 280 dalších organizací K e infrastruktuře CESNET se mohou připojit instituce, které se zabývají vědou, výzkumem, vývojem včetně uplatnění jejich výsledků v praxi experimentálním vývojem nebo inovacemi v průmyslu i jiných oborech šířením vzdělanosti, kultury a prosperity vybrané sítě veřejné správy Hlavní cíle: výzkum a vývoj informačních a komunikačních technologií budování a rozvoj e infrastruktury CESNET určené pro výzkum a vzdělávání podpora a šíření vzdělanosti, kultury a poznání 2011 2015 Projekt Velká infrastruktura CESNET Schůze s partnery projektu SABU I., 13. leden 2016

CESNET2 - HW accelerated probes - large scale (backbone-wide) flow based monitoring (NetFlow data sources) - Honey Pots - SNMP based monitoring - IDS, IPS, tar pit based systems, etc..

Jak jsme začali... Správci v připojených sítích provozují bezpečnostní nástroje IDS, honeypoty, IPS, sondy, syslog, netflow... Sledování stavu sítě, zdraví sítě Hledání kompromitovaných zařízení Detekce útoků, anomálií provozu DILEMA Co s daty, pro která nemám použití? Zahodit? To je škoda a plýtvání Reportovat? To je zase moc pracné, s potenciálem přejít do diskuse, dožadování se pomoci, dalších informací atd... Schůze s partnery projektu SABU I., 13. leden 2016

Jak jsme začali... Správci v připojených sítích provozují bezpečnostní nástroje IDS, honeypoty, IPS, sondy, syslog, netflow... Sledování stavu sítě, zdraví sítě Hledání kompromitovaných zařízení Detekce útoků, anomálií provozu DILEMA Co s daty, pro která nemám použití? Zahodit? To je škoda a plýtvání Reportovat? To je zase moc pracné, s potenciálem přejít do diskuse, dožadování se pomoci, dalších informací atd... Sdílet! Ale jak? A co formát? Obsah? Protokol? Klasifikace? Politika? Schůze s partnery projektu SABU I., 13. leden 2016

S Systém pro efektivní sdílení informací o bezpečnostních incidentech Client/server architektura (transport, ne naskladnění dat) Komunitní přístup (aka budujme bezpečnost společně ) Tvoje data jsou dostupná celé Warden komunitě Data celé komunity jsou dostupná Tobě Zasílající a odebírající klienti Událost (event) Bezpečnost X509 encryption sanity checks peer review IDEA formát Schůze s partnery projektu SABU I., 13. leden 2016

Schůze s partnery projektu SABU I., 13. leden 2016

Lesson learned I Připojené organizace nemají dostatek lidských zdrojů na využití otevřeného komunitního přístupu k systému = nedokáží data odebrat a zpracovat si je. Schůze s partnery projektu SABU I., 13. leden 2016

Lesson learned I Připojené organizace nemají dostatek lidských zdrojů na využití otevřeného komunitního přístupu k systému = nedokáží data odebrat a zpracovat si je. Ale chtějí tato data získávat, data jsou užitečná = je nutné je správcům doručit zpracovaná. Schůze s partnery projektu SABU I., 13. leden 2016

Schůze s partnery projektu SABU I., 13. leden 2016

Z hlediska architektury Warden je odebírající klient SIEM Skladiště informací Zpracovává data (události) z Warden a od třetích stran (N6, ShadowServer,...) Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Reporty zasílá do koncových sítí (abuse@...) Schůze s partnery projektu SABU I., 13. leden 2016

S Schůze s partnery projektu SABU I., 13. leden 2016

Lesson learned II... reakce od příjemců reportů... Málo informací, nevíme co s tím máme dělat. Chci mít možnost report strojově zpracovat. Spěchá to? Jakou to má závažnost? Tyto informace nechceme vůbec, odebíráme je přímo od zdroje. Data od třetích stran mají různou kvalitu Nechci! Co si počít s informací, že IP a.b.c.d je na blacklistu X? Chci! Informace, že IP a.b.c.d. je na blacklistu X je užitečná. NAT, FW, DHCP Velké sítě s hierarchií správy (Uni Fakulta Katedra Pracoviště) Příjemce musí report rozebrat, přebalíčkovat a poslat do podsítí. Proč mi to reportujete znova? Včera jsem to vyřešil. Schůze s partnery projektu SABU I., 13. leden 2016

SIEM Skladiště informací Zpracovává data (události) z Warden a od třetích stran (N6, ShadowServer,...) Události rozdělí podle příslušnosti ke koncovým sítím (vytvoří reporty) Reporty zasílá do koncových sítí (abuse@...) Podpůrný nástroj CESNET CERTS a bezpečnostní týmy připojených organizací WWW rozhraní pro správce z koncových sítí Možnost ovlivnit jak a kdy reporty dostávat a co chci dostávat Detaily reportů Globální dahsboardy Statistiky Schůze s partnery projektu SABU I., 13. leden 2016

Statistiky 17 zasílajících klientů (zdrojů dat) cca 1,1 mil událostí za den cca 60 reportů denně, cca 300 týdně (na cca 320 připojených organizací) Schůze s partnery projektu SABU I., 13. leden 2016

Statistiky Incident TOP10 share by country June 15 China USA Turkey Australia Netherlands Hongkong Taiwan Russia Germany Poland Incident TOP10 share according to number of incidents per one IP in the country June 2015 Fiji Maldives Hongkong Iceland Mongolia Israel Latvia Albana Montenegro France Schůze s partnery projektu SABU I., 13. leden 2016

TOP 20 incident share by AS June 2015 Chinanet CN Turk Telekomunikasyon Anonim Sirketi TR SoftLayer Technologies Inc. AU CNCGROUP China169 Backbone CN CHINANET jiangsu province backbone CN Ecatel LTD NL Data Communication Business Group TW CariNet, Inc. US SoftLayer Technologies Inc. HK Hurricane Electric, Inc. US HOT NET LIMITED HK PlusServer AG DE University of Michigan US Jazz Telecom S.A. ES Biznes-Host.pl sp. z o.o. PL MCI Communications Services, Inc. d/b/a Verizon Business US 013 NetVision Ltd. IL Contabo GmbH DE CNCGROUP IP network China169 Beijing Province Network CN Abovenet Communications, Inc US TOP 20 incident share by AS according to number of incidents per one IP from AS June 2015 Schůze s partnery projektu SABU I., 13. leden 2016 HOT NET LIMITED Przedsiebiorstwo Uslug Specjalistycznych ELAN mgr inz. Nikultsev Aleksandr Nikolaevich Ecatel LTD DELORIAN Internet Services Artur Grabowski Nagravision SA DataClub S.A. PE Voronov Evgen Sergiyovich Livenet Sp, z o.o. WEDOS Internet, a.s. Storm Systems LLC MediaServicePlus Ltd. Black Fox Limited CariNet, Inc. Iradeum Trading Ltd. DataWagon LLC DDNET SOLUTIONS SRL HOSTKEY B.V. Hosting Solution Ltd.

Incident TOP20 share by Czech ISP June 2015 WEDOS Internet, a.s. FDCservers.net O2 Czech Republic, a.s. OVH SAS Liberty Global Operations B.V. (UPC ČR) CESNET z.s.p.o. METRONET s.r.o. Media a.s. itself s.r.o. Vodafone Czech Republic a.s. PODA a.s. T-Mobile Czech Republic a.s. CD-Telematika a.s. Starnet s.r.o. T-Mobile Czech Republic a.s. CoProSys a.s. ISP Alliance a.s. WIA spol. s.r.o. Incident TOP20 share by Czech ISP according to number of incidents per one IP address from AS June 2015 Schůze s partnery projektu SABU I., 13. leden 2016 WEDOS Internet, a.s. FDCservers.net Pe3ny Net s.r.o. Ladislav Rudolf MAXTEL s.r.o. Vodafone Czech Republic a.s. Druzstvo EUROSIGNAL FreeTel, s.r.o. Brno University of Technology Futurenet ISP s.r.o. CoProSys a.s. Tlapnet s.r.o. Humlnet s.r.o. Marek Smutny WMS s.r.o. CESNET z.s.p.o. Dial Telecom, a.s. TTNET Czech Republic INTERNET CZ, a.s. VSHosting s.r.o.

Lesson learned III... současnost & budoucnost... Umíme data dostat na jedno místo, zpracovat a doručit. ALE! Sdílet syrová primární data nestačí! Data získaná z bezpečnostních nástrojů jedné sítě nestačí! Sdílet na úrovni jedné sítě (ISP/organizace) nestačí! Schůze s partnery projektu SABU I., 13. leden 2016

Lesson learned III... současnost & budoucnost... Umíme data dostat na jedno místo, zpracovat a doručit. ALE! Sdílet syrová primární data nestačí! Data získaná z bezpečnostních nástrojů jedné sítě nestačí! Sdílet na úrovni jedné sítě (ISP/organizace) nestačí! Proč? Primárních dat je moc. Některé problémy nemusíme zaznamenat. Chybí souvislosti, nevidíme celkový obraz. Schůze s partnery projektu SABU I., 13. leden 2016

Co dál... Nové a další zdroje primárních dat v síti CESNET2 Obohacení dat Inteligentní analýzy, korelace Sdílení dat a informací na národní a mezinárodní úrovni Nové a další zdroje primárních dat mimo síť CESNET2 Nové zdroje od tzv. třetích stran Schůze s partnery projektu SABU I., 13. leden 2016

Zapojení partnerů Odebírání dat Přímo (konektor, vlastní zpracování, naskladnění a využití) Formou e mail reportu E mail reporty Ze systému Mentat Data příslušející Vaší organizaci (constituency) Bezpečnostní události, kde zdrojem je IP adresa Vaší constituency Schůze s partnery projektu SABU I., 13. leden 2016

Zapojení partnerů Zasílání dat Provozujete bezpečnostní nástroj a jste ochotní data sdílet? Jaká data? Za jakých podmínek? Částečná anonymizace? Jen data relevantní pro CESNET2? Máte vhodné místo v síti pro umístění nějakého bezp. nástroje? Schůze s partnery projektu SABU I., 13. leden 2016

Děkuji za pozornost. Andrea Kropáčová, andrea@cesnet.cz Schůze s partnery projektu SABU I., 13. leden 2016

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář