160 likes | 302 Views
SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen. PTS. PTS är en myndighet under Näringsdepartementet PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor. Sitics uppdrag.
E N D
SITIC • Sveriges IT-incidentcentrum • - Dragning för LIU och Dataföreningen
PTS • PTS är en myndighet under Näringsdepartementet • PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer • Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor
Sitics uppdrag • Inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och funktionen • Snabbt kunna sprida information i samhället om nya problem som kan störa IT-system • Lämna information och råd om förebyggande åtgärder • Sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet.
Förebyggande Råd Särskilda Råd Blixtmeddelanden Meddelanden om attackerade sajter Sårbarhetskungörelser Statistik (Honeynet, LISA) Seminarier Riskanalysmetod Handräckning (Phishing, Botnets) Leverabler
Introduction to the honeypot concept Einar Oftedal, The Norwegian Honeynet Project MWCollect/Nepenthes, software for honeypots Thorsten Holz, The German Honeynet Project Live demo: the SURFNet IDS Solution Rogier Spoor, SURFNet Reverse engineering of a bot Thorsten Holz, The German Honeynet Project Malware striptease Jesper Svensson, Försvarets radioanstalt Demo av forensiskt sunda metoder och procedurer för att detektera intrång Pär Österberg, Sitic The Norwegian Honeynet Project and the international Honeynet Research Alliance * Einar Oftedal, The Norwegian Honeynet Project Vårseminariet 2006
Öppna källor Abonnerade Källor Övriga källor Scout • Omvärldsanalys • En schemalagd ansvarig för OA (alla deltar) • Listning på intern mail (Daily) • Klassificeringsverktyget (10 variabler viktas) • - Är potentiell verkansgrad hög? • - Är sårbarheten lätt att utnyttja? • Är produkten spridd i målgruppen? • Konsensusbeslut i korridoren Labb • Produktion • Daily (första filtrering) • Blixtmeddelande • Särskilt Råd Omvärldsanalys Sårbarheter Embargo
Samverkan med andra CERT:ar • TeliaSoneraCERT, SunetCERT • Nordiskt CSIRT-Forum (NCF) • European Government CSIRT – Group (EGC) • GovCertUK (UK) • GOVCERT.NL (NL) • CERT-FI (FI) • CERT-BUND (D) • CERTA (F) • NorCERT (NO) • SWITCH-CERT (CH) • FIRST, TF-CSIRT • International Watch & Warning Network (IWWN)
Honeypotnätverket • Honeypot (HP) är ett verktyg som detekterar och registrerar skadlig kod och intrångsförsök i syfte att möjliggöra vidareanalys av dessa företeelser. • Syftet med HP-nätverket är att deltagarna ska kunna detektera och registrera skadlig kod och intrångsförsök mot det egna systemet, kunna göra jämförelser med andra deltagare i HP-nätverket samt få kunskap om mönster och trender avseende dessa företeelser. • Denna kunskap ska stödja det förebyggande säkerhetsarbetet samt öka samhällets förståelse för IT-säkerhetshot.
Honeypotnätverket II • Teknikmiljön baseras på Nepenthes som är utvecklad med öppen källkod vilken deltagarna kommer att ha tillgång till. • Sitic utvecklar tekniken och förvaltar HP-nätverket. I databaser lokaliserade till Sitic lagras data som inhämtas genom deltagarnas sensorer. • Deltagarna bereds tillgång till data från egen sensor samt tillgång till anonymiserad data från andra deltagares sensorer i HP-nätverket genom inloggning på Sitics webbport. • Deltagarna tilldelas sensorprogramvara kostnadsfritt från Sitic. Programvaran är lagrad på USB-minne och monteras på hårdvara som deltagaren själv tillhandahåller.
Honeypotnätverket III • Sitic avser att bilda ett forum med HP-nätverkets deltagare för erfarenhetsutbyte inom området intrångsdetekteringsteknik och kodanalys. • Programvaran vidareutvecklas kontinuerligt och kommer att inkludera exempelvis ARGOS och SNORT
LISA • Logginsamling och sammanställning • Webserverloggar • 4xx och 5xx felmeddelanden • Statistik • “Early Warning” och anomalier • Deltagarna kan jämföra sin data med • Aggregerad bild • Deltagare från samma sektor
LISA II Ge oss era fel... • 192.168.1.100 - - [18/Dec/2001:05:11:04 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3147 • IP-nummer • Tidsstämpel • Förfrågan • HTTP-statuskod (4xx, 5xx) • User-agent LISA www
...och vi ger er: LISA III Anrop som genererat 400- eller 500-fel • Andel som % av total • Antal sett över tiden (dygnet, veckan, …) • Geografiskt ursprung • Vanligaste förekommande förfrågningar (GET /../.. ) • Vanligaste User-agent Jämför med • Sektor • Region • Alla Publik www AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp Privat www Login AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp
Kommande • Fler sensorsystem • Fler sökbara databaser • Mer operativ handräckning