260 likes | 524 Views
Реагирование на инциденты кибербезопасности. Михаил Кадер, mkader@cisco.com , security-request@cisco.com. Вопросы к обсуждению. Угрозы в Интернете Центры реагирования Некоторые методы борьбы. Отчет по безопасности Cisco за 2009 г. Социальные сети Риски при работе в Интернете
E N D
Реагирование на инциденты кибербезопасности Михаил Кадер, mkader@cisco.com, security-request@cisco.com
Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы
Отчет по безопасности Cisco за 2009 г. Социальные сети Риски при работе в Интернете Монетизация киберпреступлений Указатель ресурсов киберпреступности Номинации "образцово-показательные киберпреступления"
Матрица : доход на капитал, вложенный в киберпреступление
"Изделие года" в области киберпреступности "Антивирус XP нашел 2794 угрозы. Рекомендуется их устранить. Продолжить?"
День 1 День 2 День 3 День 4 День 5 День 6 День 7 День 8 День 9 День 10 Итого Панель Bakasoftware с доходами за 10 дней ДФ № 2 Bakasoftware управляет криминальной сетью • Партнеры Bakasoftware по продаже "шпионского” ПО для “устрашения” • Партнеры загружают "ПО-устрашитель" в ботсети • Партнеры выплачивают Bakasoftware комиссионные за покупки клиентов • Доход партнера № 2 за 10 дней – 147 тыс. долларов, за год – 5 млн. 154 825 установок, 2772 покупки Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы
Computer Emergency Response Teams – Основные факты • Причина появления: The Internet Worm, 1988 • Создание CERT-CC (координационной центр) • Carnegie Mellon University • http://www.cert.org/ • Возможные названия: • IRT (Incident Response Team) • CSIRT (Computer security incident response team) • … и другие варианты
Координационные центры • FIRST: Forum of Incident Response Teams http://www.first.org • TF-CSIRT: Европейский координационный центр http://www.terena.org/activities/tf-csirt/
Европейские CERT-ы (Май 2010)https://www.trusted-introducer.org/teams/country_LICSA.html • *Europe • Cisco PSIRT • EGEE OSCT • ESACERT (*Europe) • IBM ERS • SunCERT • *World Wide • NCIRC CC • Austria • ACOnet-CERT • CERT.at • R-IT CERT • Azerbaijan • CERT AzEduNET • Belgium • BELNET CERT (Belgium) • CERT.be (Belgium) • Bulgaria • CERT Bulgaria (Bulgaria) • Croatia • CARNet-CERT (Croatia) • CERT ZSIS • HR-CERT (Croatia) • Cyprus • CYPRUS • Czech Republic • CESNET-CERTS (Czech Republic) • CSIRT-MU • CSIRT.CZ • CZNIC-CSIRT • Denmark • CSIRT.DK • DK-CERT (Denmark) • KMD IAC (Denmark) • Hungary • CERT-Hungary (Hungary) • HUN-CERT • NIIF-CSIRT • Iceland • RHnet CERT • Ireland • HEANET-CERT • IRISS CERT (Ireland) • Jumper CSIRT (Ireland) • POPCAP-CSIRT • Israel • ILAN CERT • Italy • CERT-IT • GARR-CERT (Italy) • Latvia • CERT NIC.LV (Latvia) • DDIRV (Latvia) • Lithuania • CERT-LT (Lithuania) • IST-SVDPT (Lithuania) • LITNET CERT (Lithuania) • Luxembourg • CIRCL • RESTENA-CSIRT (Luxembourg) • Malta • mtCERT (Malta) • Netherlands • AMC-CERT • CERT-IDC • CERT-KUN • CERT-RUG (Netherlands) • CERT-UU • Edutel-CSIRT • GOVCERT.NL (Netherlands) • ING Global CIRT • KPN-CERT (Netherlands) • SURFcert (Netherlands) • UvA-CERT • Estonia • CERT-EE (Estonia) • SKY-CERT • Finland • CERT-FI (Finland) • Ericsson PSIRT (Finland) • Funet CERT (Finland) • Nokia NIRT • France • APOGEE SecWatch • Cert-IST (France) • CERT-LEXSI (France) • CERT-Renater (France) • CERT-Societe Generale • CERTA (France) • CSIRT BNP Paribas • Georgia • CERT-GE • Germany • CERT-BUND • CERT-VW (Germany) • CERTBw • CERTCOM • ComCERT • dCERT (Germany) • DFN-CERT (Germany) • GNS-CERT • KIT-CERT (Germany) • PRE-CERT (Germany) • RUS-CERT (Germany) • S-CERT (Germany) • SAP CERT • secu-CERT • Siemens CERT (Germany) • T-Com-CERT • Telekom-CERT (Germany) • Greece • AUTH-CERT • FORTH CERT (Greece) • GRNET-CERT • Norway • NorCERT (Norway) • NORDUnet CERT (Norway) • UiO-CERT (Norway) • UNINETT CERT (Norway) • Poland • CERT POLSKA (Poland) • PIONIER-CERT • TP CERT • Portugal • CERT-IPN • CERT.PT (Portugal) • CSIRT.FEUP (Portugal) • Romania • RoCSIRT (Romania) • Russian Federation • RU-CERT (Russian Federation) • WebPlus ISP • Slovenia • SI-CERT (Slovenia) • Spain • CCN-CERT (Spain) • CSIRTCV • esCERT-UPC (Spain) • INTECO-CERT (Spain) • IRIS-CERT (Spain) • Sweden • SIST • SITIC (Sweden) • SUNet CERT (Sweden) • Swedbank SIRT (Sweden) • TS-CERT (Sweden) • Switzerland • CC-SEC • CERN-CERT • IP+ CERT • OS-CIRT • SWITCH-CERT (Switzerland) • Turkey • TR-CERT (Turkey) • Ulak-CSIRT (Turkey) • Ukraine • CERT-UA • United Kingdom • BTCERTCC (United Kingdom) • Citigroup • CSIRTUK (United Kingdom) • DANCERT • DCSIRT (United Kingdom) • E-CERT • EUCS-IRT • GovCertUK • JANET CSIRT (United Kingdom) • MLCIRT • MODCERT • OxCERT • Q-CIRT • RBSG-ISIRT (United Kingdom)
NCIRC CC mbehring CERT: Взаимодействие Атака Оператор 2 Правоохрани-тельные органы CSIRT Оператор 1 CSIRT Предприятие CSIRT
NSP-SEC “The nsp-security [NSP-SEC] forum is a volunteer incident response mailing list, which coordinates the interaction between ISPs and NSPs in near real-time and tracks exploits and compromised systems as well as mitigates the effects of those exploits on ISP networks. The list has helped mitigate attacks and will continue to do so.” http://puck.nether.net/mailman/listinfo/nsp-security
Кто входит в NSP-SEC ? • Вы работаете в крупном операторе услуг Интернет, центре хостинга, транзитном операторе? • Включает ли в себя Ваша работа задачи по обеспечению сетевой безопасности? • Готовы ли Вы бесплатно помогать сообществу сетевых оперторов в мониторинге, сборе данных и их анализе? • Есть ли у Вас полномочия и технические возможности по расследованию и предотвращению инцидентов в вашей сети? • Есть ли у Вас время для участия в работе форума в реальном режиме времени?
iNOC DBA – Почемуи как? • Почему • Операторы должны взаимодействовать во время атаки, например – разговаривать :-) • Не так просто найти правильный контакт сразу. Инженер может просто не брать телефон. • Решение: Выделенная система телефонной связи • INOC-DBA: Inter-NOC Dial-by-ASN • Как • Голосовая система на базе протокола SIP • Нумерация базируется на номерах автономных систем в Интернет • AS-Number:Extension • www.pch.net/inoc-dba/
Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы
Отслеживание: основные положения • Если префикс источника не фальшивый: • Таблица маршрутизации • Реестр Интернет-маршрутизации (IRR)—whois • Непосредственный выход на сеть • Если префикс источника фальшивый: • Отследите маршрут потока пакетов по сети • Найдите входящее соединение • Следующий оператор связи должен продолжать поиск
Маршрутизаторы/сети – поглотителя • «Поглотители» (sinkhole)являютсяметодом защиты на уровне топологии сети—аналогичны «приманкам»(honeypot) • Используется для отвода атакующих ударов от пользователя—перенаправляет удар на маршрутизатор, который способен выдержать атаку • Используется для мониторингашумового трафика атаки, сканирования, посылки лже-трафика и другой активности (с анонимных либо несуществующих IP адресов) • Трафик обычноотводится с помощью маршрутных объявлений BGP и другими средствами • Программное обеспечение внутри контролируемого окружения
Маршрутизаторы/сети – поглотителя Поглощающая сеть Пользователи пользователи пользователи 192.168.20.0/24—Сеть-мишень Цель атаки 192.168.20.1 Адрес-мишень
Маршрутизаторы/сети – поглотителя Маршрутизатор объявляет 192.168.20.1/32 Поглощающая сеть пользователь пользователи пользователи 192.168.20.0/24—Сеть - мишень Цель атаки 192.168.20.1 адрес мишени
Маршрутизаторы/сети – поглотителя • Атакующий удар отводится от пользователя / агрегирующего маршрутизатора • Теперь можно применить ACL-классификацию, захват пакетов и т.д. • Задачей является минимизация рисков для сети на время анализа обстоятельств атаки Маршрутизатор объявляет 192.168.20.1/32 Поглощающая сеть пользователи пользователи 192.168.20.0/24—Сеть-мишень Цель атаки 192.168.20.1 адрес мишени
Маршрутизаторы/сети – поглотителя • Объявлениеадресного пространства (“space”)в поглощающей сетинаправит в неё весь поступающий «мусор» ( и гипотетически полезный) трафик: • Пользовательский трафик при зацикливании • Сканирования сети к несуществующим адресам • Вирусный трафик • Обратное распространение • Поместите в поглощающую сеть инструменты слежения для анализа шумового трафика Маршрутизатор объявляет “space” Поглощающая сеть Пользователи Пользователи Пользователи Пользователи
Что можно отследить в поглощающей сети? • Сканирование с незнакомых IP (распределенногои неиспользуемого адресного пространства) • Кто прощупывает сеть—предварительная разведка, «черви»… • Сканирование с bogons (нераспределенных адресов) • «Черви», зараженные машины • Обратное распрстранение после атак • Кого атакуют • Обратное распространение от шумового трафика («дыры» RFC-1918) • Какие пользователи имеют проблемы в настройкахилиуязвимые сети
Обнаружение «червя» и отчет Оператор мгновенно получает уведомлениео наличии «червя» Система автоматическисоставляет списокинфицированных серверов для отправки в карантин и лечения
Зачем использовать поглотители? • Потому что они работают! Операторы связи, предприятия и исследователииспользуют их в своих сетях для сбора и анализа данных • При накоплении опыта и внедрении новых технологийнаходятсяи другие применения • Правильное построение поглотителейтребует тщательных подготовительных операций
Вопросы и Ответы security-request@cisco.com