10   CESNET CSIRT

Základem preventivní a aktivní ochrany počítačů a počítačových sítí je důsledné a efektivní řešení bezpečnostních incidentů včetně odstraňování jejich příčin a následků.

Problematiku bezpečnostních incidentů řeší obecně tzv. CSIRT týmy - Computer Security Incident Response Team (případně CERT - Computer Emergecy Response Team). Existence alespoň jednoho oficiálního CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, metropolitní apod.). CSIRT dané sítě obecně představuje záchytný bod (point of trust), na který je možné se obrátit se zjištěným bezpečnostním problémem. CSIRT tým má k dispozici ověřené postupy a pravidla, které mu umožňují rychlou a efektivní reakci při řešení bezpečnostního incidentu a minimalizaci jeho následků.

Ve světě existují stovky CSIRT/CERT týmů a drtivá většina z nich vznikla a funguje v úzké spolupráci s nadnárodními organizacemi TERENA (Trans European Research and Education Networking Association) a FIRST (Forum for Incident Response and Security Teams). Prvním oficiálním CSIRT týmem se v České republice stal bezpečnostní tým CESNET-CERTS provozovaný sdružením CESNET, z. s. p. o.. Tento tým operuje nad sítí národního výzkumu CESNET2.

10.1   Aktivity CESNET-CERTS

Bezpečnostní tým CESNET-CERTS působí v síti CESNET2 od ledna 2004 a poskytuje následující služby:

Vzhledem k rozšiřující se činnosti týmu jsme v průběhu tohoto roku rozšířili osazení jádra týmu ze tří zaměstnanců na pět.

10.1.1   Incident Handling

Základem práce týmu CESNET-CERTS je příjem hlášení bezpečnostních incidentů, které mají původ v síti CESNET2, a koordinace jejich řešení. Hlášení bezpečnostních incidentů jsou zasílána buď přímo do koncových sítí, nebo na adresu abuse@cesnet.cz, což je hlavní kontaktní adresa pro hlášení bezpečnostních incidentů v síti CESNET2 (AS 2852). Na tuto adresu jsou hlášení posílána v případě, že koncový správce nereaguje, reaguje nekorektně, nebo v případě, kdy se jedná o závažný bezpečnostní incident, o kterém by měli být informováni správci AS. Jinak je samozřejmě žádoucí, aby se stížnost na bezpečnostní incident zaslala přímo zodpovědné osobě bez zbytečného zdržení. V roce 2007 jsme začali se zapojením členů Pracoviště stálé služby (dále jen PSS) do agendy týmu CESNET-CERTS, hlavní motivací bylo, aby se hlášení bezpečnostních incidentů dostala co nejrychleji do koncové sítě, k čemuž se využití non-stop dohledového centra jeví jako optimální. V tomto roce jsme pokračovali v dalším vzdělávání členů PSS tak, aby dokázali rozpoznat větší množství incidentů a získali jistotu při provádění základního incident handlingu.

V současné době tedy při řešení bezpečnostních incidentů v síti CESNET2 úzce spolupracují tři skupiny - CESNET-CERTS a jeho první frontová linie tvořená členy PSS a pracovníci NOC (skupina technických pracovníků, kteří mají na starost páteřní síť CESNET2), kteří v případě závažného incidentu ohrožujícího síť CESNET2 provedou účinná opatření.

Pro každý bezpečnostní tým je důležité kvalitní technické zázemí umožňující snadnou a efektivní správu hlášení bezpečnostních incidentů. Tým CESNET-CERTS používá systém OTRS, který průběžně vyvíjí a doplňuje o funkční moduly, jež umožňují automatizaci řady operací (např. hlídání odezvy na ohlášený incident) a vizualizaci řešených kauz. V letošním roce jsme například OTRS obohatili o (polo)automatickou klasifikaci incidentů dle jejich typu (spam, phishing, porušení autorských práv) pomocí Bayesovských metod. Tato klasifikace umožňuje snadné generování statistik, což může sloužit ke sledování vývoje situace v oblasti bezpečnostních incidentů v síti CESNET2. Moduly, které jsme ve standardním distribučním OTRS změnili nebo doplnili, jsou zpřístupněny na adrese ftp://ftp.cesnet.cz/local/otrs.

V roce 2008 CESNET-CERTS přijal a zpracoval kolem 1300 hlášení bezpečnostních incidentů, z nichž jen cca dvě desítky se týkaly jeho přímé zodpovědnosti. Tedy incidentů vzniklých v pražském uzlu a v páteřní síti CESNET2. Ostatní hlášení byla přeposlána se žádostí o řešení do koncových sítí připojených k CESNET2.

10.1.2   IDS (Intrusion Detection System)

V oblasti systému IDS jsme v tomto roce pokračovali ve vývoji programů pro analýzu dat získaných ze serveru LaBrea v dejvické síti CESNETu. Tento stroj zaznamenává a brzdí útoky směřující do dosud nealokovaného adresového prostoru CESNETu. Detekované útoky jsou v pravidelných intervalech zpracovávány a následně jsou automaticky rozesílána hlášení správcům sítí, ze kterých útok pravděpodobně pochází, aby na základě zjištěných informací mohli provést kontrolu zabezpečení sítě a zařízení.

V současné době systém IDS dokáže detekované útoky roztřídit do tří skupin podle jejich původu:

Hlášení o útocích patřících do druhé a třetí skupiny nejsou odesílána správcům daných sítí, ale jsou odesílána do "sběrných" míst, která se starají o další zpracování a rozesílání upozornění - DSHIELD a MyNetWatchman. Systém je připraven začít rozesílat hlášení pro druhou skupinu stejným způsobem, jako v případě skupiny první, tedy přímo koncovým správcům. O nasazení tohoto modelu se pokusíme v rámci pracovní skupiny CSIRT.CZ popsané níže. Kód CESNET IDS je k dispozici na ftp://ftp.cesnet.cz/local/ids.

10.1.3   Aktivity TF-CSIRT a FIRST

Součástí práce každého oficiálního CSIRT týmu je spolupráce a budování vztahů s ostatními světovými bezpečnostními týmy. Vhodné platformy pro tento účel provozují organizace TERENA a FIRST. Obě organizace pořádají výroční konference, školení, umožňují setkávání pracovních skupin a obecně podporují vzájemnou spolupráci.

Každý oficiální CSIRT tým se může stát členem sdružení FIRST - jedná se o další logický krok při budování a provozu CSIRT týmu a cestu k určité formalizaci. Nutnou podmínkou členství je úspěšné absolvování procesu, při němž je ověřována "totožnost, důvěryhodnost a funkčnost". To v praxi znamená, že tým musí dobře zdokumentovat vlastní činnost, musí o sobě zveřejnit základní informace a garantovat obecně akceptovatelné modely chování a odezvy. Členstvím v těchto organizacích se pak týmu otevírá cesta k důležitým a užitečným informacím, které vytvářejí a aktualizují členské týmy, k užší spolupráci a na uzavřená jednání v rámci pracovních skupin a konferencí.

Na evropské úrovni je obdobou získání členství v organizaci FIRST tzv. akreditační proces v rámci aktivity Trusted Introducer, kterou organizuje sdružení TERENA. Akreditační proces je podobný procesu získání členství ve FIRST, jen méně náročný. Získání statusu "accredited" opravňuje tým účastnit se uzavřených jednání platformy TF-CSIRT a k přístupu na privátní stránky úřadu Trusted Introducer.

Tým CESNET-CERTS vstoupil do akreditačního procesu v listopadu roku 2007 a status "accredited" získal v lednu roku 2008. Od podzimu tohoto roku se tým CESNET-CERTS připravuje na vstup do procesu získání členství ve FIRST, podporu máme přislíbenu od týmů CERT-FI (vládní CSIRT tým Finska) a CERT Polska (národní tým Polska).

Další aktivitou, kterou provozuje organizace TERENA, je aktivita CSIRT Training, což je dvoudenní intenzivní školení určené novým členům CSIRT týmů a těm, kteří CSIRT tým hodlají založit. Tato školení jsou organizována dvakrát ročně. Jeden letošní CSIRT Training, který v říjnu proběhl v hotelu Academic v Roztokách u Prahy, spoluorganizovalo sdružení CESNET. Zúčastnilo se jej celkem 30 osob ze 14 zemí, z toho 10 z České republiky.

10.2   CSIRT.CZ

CESNET se od roku 2007 účastní projektu Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky, který byl vypsán a je financován Ministerstvem vnitra České republiky. V rámci tohoto grantu se členové CESNET-CERTS podílí na řešení dílčího úkolu jehož specifikace zní "navrhnout a realizovat distribuovanou hierarchii pro systematické plošné řešení bezpečnostní problematiky prostřednictvím CSIRT týmů". Výsledkem tohoto úkolu je vytvoření a provoz pracoviště CSIRT.CZ, jehož pilotní provoz byl spuštěn 3. dubna 2008. Členové CESNET-CERTS zajišťují v prostředí CSIRT.CZ jeho rutinní funkce, ale především zde fungují jako zdroj know-how a praktických zkušeností, které jsou pro chod CSIRT týmu potřeba a jako školitelé nových členů.

Hlavním úkolem CSIRT.CZ je koordinace a pomoc při řešení bezpečnostních incidentů, které mají původ v sítích provozovaných v České republice a na jejichž oznámení správci dané sítě nereagují nebo takovou osobu není možné dohledat nebo se vyskytnou jiné problémy, např. jazykové. Obecně se ale z pohledu stěžovatele jedná o kombinaci "vážný a neřešený" bezpečnostní incident. V takovém případě CSIRT.CZ hraje roli "místa poslední záchrany", na něž je možné se obrátit se žádostí o pomoc.

V prostředí českého Internetu jsou cíle CSIRT.CZ následující: kromě provozu místa poslední záchrany v oblasti řešení bezpečnostních útoků, což je jádro práce každého týmu CSIRT/CERT, se snaží především motivovat provozovatele velkých sítí a rizikových služeb (např. banky provozující elektronické bankovnictví) ke zřízení oficiálních týmů CSIRT/CERT a o spolupráci mezi nimi. CSIRT.CZ slouží jako modelové řešení, zdroj know-how, zkušeností a platforma pro diskusi a spolupráci.

Tým CSIRT.CZ se evropské komunitě CSIRT týmů představil na 24. zasedání TF-CSIRT, které proběhlo v květnu v norském Oslo. V červnu mu úřad Trusted Introducer potvrdil získání stavu "listed" (první krok na cestě k získání akreditace). V roce 2008 se v prostředí České republiky zformoval další CSIRT tým, jeho zřizovatelem je sdružení CZ.NIC. Stav "listed" byl tomuto týmu potvrzen v září. V současné době tedy v české republice působí celkem tři týmy typu CSIRT - CESNET-CERTS, CSIRT.CZ a CZ.NIC-CSIRT. Představu o aktuálním stavu evropské CERT/CSIRT komunity si můžete udělat podle mapy, kterou má na svých stránkách organizace ENISA.

předchozí
obsah 		následující
další weby:fond rozvojemetacentrumCzechLightpřenosyvideoservereduroameduID.cz