![Page 1: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/1.jpg)
Plošný sběr, zpracování a distribuce bezpečnostních událostí
Pavel Kácha
![Page 2: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/2.jpg)
Computer Security Incident Response Team
Funkce CSIRT týmu ale nemůže skončit pouze reakcí.
2
Koncová síť(ČVUT, MUNI, VUTBR, ...)
Koncová síť(ČVUT, MUNI, VUTBR, ...)
PSSPSS
NOCNOC
CZ
Jiné
Přím
á hlášení
!
![Page 3: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/3.jpg)
Naše zdroje
3
HW sondy
monitoring páteře (NetFlow)
honeypoty
IDS, IPS, tarpit, etc..
SNMP monitoring
![Page 4: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/4.jpg)
Naše zdroje… a nejen naše
4
Cowrie Dionaea LaBreaSondy + Nemea Fail2Ban
Shadowserver
![Page 5: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/5.jpg)
Platforma pro automatizované sdílení informací o incidentech
– Zapisující konektory zasílají události do „fronty“
– Čtoucí konektory odebírají vše, co se objevilo Kdo ostatním poskytuje data, dostane se k datům ostatních Jednotný formát
https://warden.cesnet.cz
https://idea.cesnet.cz
5
![Page 6: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/6.jpg)
Jednotné automatizované zpracování Zpřístupňuje informace lidským způsobem (bez nutnosti přístupu do Wardenu)
Příklad: DDoS
– Informace dorazí přes FTAS, sondy a LaBreu do Wardenu
– Mentat zagreguje informace z různých zdrojů
– … a roztřídí podle zdrojů útoku
– Jednotlivé organizace dostanou specifický report o svých IP
https://mentat.cesnet.cz 6
![Page 7: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/7.jpg)
Reporty
7
![Page 8: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/8.jpg)
Zdraví sítě
8
![Page 9: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/9.jpg)
Stavové informace
Informace někdy nelze získat hromadně... … nebo je vhodné do zpracování zařadit i jiné typy informací
GeoIP BGP+ASN whois
9
Caida
CIRCL BGP Rank
DShield Exit nodes
![Page 10: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/10.jpg)
Databáze škodlivých IP adres
– Seznam (nám) známých zdrojů škodlivých aktivit … a všeho, co o nich víme
(Primární zdroje – Warden, MISP)
Data jsou obohacena o další informace z externích zdrojů
Shrnutí všech informací do reputačního skóre
– Predikce míry hrozby entity pro následující den(strojové učení z dostupných dat)
https://nerd.cesnet.cz
10
![Page 11: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/11.jpg)
11
![Page 12: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/12.jpg)
12
![Page 13: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/13.jpg)
Passive DNS
DNS odráží okamžitý stav – Passive DNS udržuje historii
– Sleduje DNS transakce a staví databázi
Příklady
– Jaké všechny jmenné záznamy ukazují na IP a.b.c.d?
– Jaké záznamy známe v doméně cesnet.cz?
– Jak se měnilo doménové jméno v čase? Není to fast-flux?
– Není příliš podobné existujícímu jménu? Nejde o phishing?
https://passivedns.cesnet.cz
13
![Page 14: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/14.jpg)
Passive DNS
14
![Page 15: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/15.jpg)
Detekce phishingu Passive DNS
15
![Page 16: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/16.jpg)
Trocha čísel
● Warden
– ~ 1.6 milionu událostí za den
– (pouze 0.4 % CESNET + partneři)
– 26 zdrojů
● Mentat
– ~ 30 reportů za týden
– pro ~ 300 organizací
16
● NERD
– ~ 800 000 IP
– ~ 115 000 BGP
– ~ 16 000 ASN
– ~ 38 000 CIDR
– ~ 16 000 organizací
● PassiveDNS
– ~ 129 milionů záznamů za den
![Page 17: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/17.jpg)
Pro Vás
Většina služeb je dostupná veřejně
– Některé jen pro členy bezpečnostních týmů [email protected]
– Některé s podmínkami („dejte, dáme“ :) )[email protected]
Většina dat je také přístupná přes API
Rádi pohovoříme o požadavcích, zvážíme zakomponování úprav, nebojte se ozvat
17
![Page 18: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/18.jpg)
Pro nás
Zapojte se do Wardenu
Máte honepot? IDS/IPS? Máte logy a fail2ban?
Podívejte se na https://warden.cesnet.cz a ozvěte se na [email protected]
18
![Page 19: Plošný sběr, zpracování a distribuce bezpečnostních událostí](https://reader034.vdocuments.site/reader034/viewer/2022051319/627b661883052879c700fdb6/html5/thumbnails/19.jpg)
Děkuji za pozornost!