n6: otwarta wymiana danych

Transkrypt

1 n6: otwarta wymiana danych Paweł Pawliński SECURE 2013 XVII Konferencja na temat bezpieczeństwa teleinformatycznego 9 października 2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

2 Wprowadzenie n6 = Network Security Incident exchange platforma stworzona przez CERT Polska cel: wymiana informacji zwiazanych z bezpieczeństwem bezpłatny dostęp dla właścicieli polskich sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

3 Plan prezentacji 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

4 Plan prezentacji Zagrożenia wewnatrz sieci 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

5 Sieć organizacji Zagrożenia wewnatrz sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

6 Ataki z zewnatrz? Zagrożenia wewnatrz sieci Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

7 Zagrożenia wewnatrz sieci Czy kontrolujemy każda z usług? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

8 Zagrożenia wewnatrz sieci Ile botów jest w sieci? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

9 Zagrożenia wewnatrz sieci ISP: ten sam problem w innej skali Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

10 Zagrożenia wewnatrz sieci Wykrycie ataku lub infekcji Zastosowanie informacji z zewnatrz: reguły zapory sieciowej / IDS sygnatury AV konfiguracja WAF alarmy w systemach monitorujacych... Źródła: producenci rozwiazań społeczność nie tylko! Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

11 Plan prezentacji Źródła danych 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

12 Źródła danych Monitorowanie botnetów C&C Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

13 Źródła danych Monitorowanie botnetów informacje o ofiarach adresy C&C C&C rozkazy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

14 Sinkhole Źródła danych sinkholed.domain.pl informacje o ofiarach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

15 Honeypoty Źródła danych honeypot SSH RDP HTTP SMB informacje o atakach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

16 Honeypoty klienckie Źródła danych złośliwy serwer WWW honeypot kliencki informacje o atakach Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

17 Źródła danych Inne metody spamtrap phishing darknet peer-to-peer crawling... Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

18 Źródła danych Skad otrzymujemy dane firmy komercyjne własne systemy organizacje non-profit źródła publiczne Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

19 Źródła danych Skad otrzymujemy dane firmy komercyjne własne systemy organizacje non-profit źródła publiczne Łacznie: ok. 20 organizacji, ponad 40 źródeł. Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

20 Plan prezentacji n6: pierwsza generacja 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

21 n6: pierwsza generacja n6: kluczowe cechy start projektu w 2011 jeden kanał do każdej automatycznej wymiany informacji zawsze zachowuje oryginalna postać danych wzbogacenie o informacje z DNS, BGP przetwarzanie asynchroniczne wymagana duża przepustowość Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

22 n6: pierwsza generacja n6: kluczowe cechy start projektu w 2011 jeden kanał do każdej automatycznej wymiany informacji zawsze zachowuje oryginalna postać danych wzbogacenie o informacje z DNS, BGP przetwarzanie asynchroniczne wymagana duża przepustowość w bieżacym roku > 12 mln dziennie Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

23 n6: pierwsza generacja bots openresolv scanning malurl phishing other cnc / / / / / /2013 spam Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

24 n6: pierwsza generacja Źródła należace do CERT Polska Sinkhole System wczesnego ostrzegania: ARAKIS Monitorowanie botnetów Analiza malware Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

25 n6: pierwsza generacja Zewnętrzne źródła danych Rodzaj danych Polska Świat Złośliwe strony WWW Kontrolery botnetów Zainfekowane maszyny - Phishing Otwarte proxy - Otwarte serwery DNS - Konfiguracje trojanów Skanowanie usług Spamerzy - brak danych obecne w n6 dużo danych Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

26 Obecny interfejs n6: pierwsza generacja Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

27 n6: pierwsza generacja Wiele formatów plików DOMAIN IPs ASNs alotibi.panadool400.com anowona.cn , , , ,18779,18779,18779 arta.romail3arnest.info asp.spinchats.com bambambam.info bff.7oorq8.com bff4.7oorq8.com bunker.org.ua computo164.laweb.es ff.converter50.com hcuewgbbnfdu1ew.com hcuewgbbnfs1uew.com internet.estr.es kubusse.ru legionarios.servecounterstrike.com "time (UTC)","ip","asn","cc","target","fqdn","url" " :09:19"," ","8342","RU","Other","fexinfos.1gb.ru"," " :08:56"," ","8342","RU","Other","fexinfos.1gb.ru"," " :34:22"," ","36351","US","Other"," static.reverse.sof " :33:12"," , ","30060,30060","US,US","Other","bit.ly"," " :35:21"," ","36351","US","Other"," static.reverse.sof " :19:50"," ","35818","RO","Apple","apple.com-infomartion-account-update- " :58:08"," ","10929","CA","Other"," Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

28 n6: pierwsza generacja Organizacje korzystajace z n registered automated 5 05/ / / / / /2013 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

29 Plan prezentacji n6: druga generacja 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

30 n6: druga generacja n6: zmiany w nowej wersji przebudowanie systemu od podstaw normalizacja danych przetwarzanie zdarzeniowe pełne API REST eksport danych w wielu formatach: JSON, CSV, IODEF proste łatwa integracja API strumieniowe portal (interfejs graficzny) Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

31 n6: druga generacja n6: zmiany w nowej wersji przebudowanie systemu od podstaw normalizacja danych przetwarzanie zdarzeniowe pełne API REST eksport danych w wielu formatach: JSON, CSV, IODEF proste łatwa integracja API strumieniowe portal (interfejs graficzny) Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

32 Portal n6: druga generacja... Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

33 Plan prezentacji Przyszłość n6 1 Zagrożenia wewnatrz sieci 2 Źródła danych 3 n6: pierwsza generacja 4 n6: druga generacja 5 Przyszłość n6 Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

34 Przyszłość n6 Plany na przyszłość produkcyjne uruchomienie nowej wersji: Q integracja kolejnych źródeł zewnętrznych i własnych budowa funkcji analitycznych wcześniej: testy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

35 Przyszłość n6 Plany na przyszłość produkcyjne uruchomienie nowej wersji: Q integracja kolejnych źródeł zewnętrznych i własnych budowa funkcji analitycznych wcześniej: testy Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

36 Przyszłość n6 Jak dołaczyć? opis dla właścicieli sieci: zgłoszenia do testów nowej wersji: Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34

37 Dziękuję za uwagę. Pytania? Paweł Pawliński (CERT Polska) n6: otwarta wymiana danych SECURE / 34