Sdílení a analýza bezpečnostních událostí


Cílem projektu SABU je vyvinout systém pro inteligentní analýzu a efektivní předávání informací typu bezpečnostní událost a bezpečnostní incident mezi bezpečnostními týmy v České republice, včetně Národního a Vládního bezpečnostního týmu ČR.
Smyslem je predikovat další možný vývoj útoku a s cílem omezit dopad tohoto útoku na národní kyberprostor. CSIRT-MU tento projekt řeší společně se sdružením CESNET.

Motivace

Kybernetická ochrana počítačových sítí, provozovaných služeb a uživatelů je v současné době zajišťována převážně samostatně jednotlivými subjekty, které provádějí detekci bezpečnostních událostí s dopadem na provozovanou infrastrukturu a na základě výsledků přijímají protiopatření.

Informace o zjištěných bezpečnostních událostech, incidentech a útocích jsou mezi provozovateli sítí a služeb a mezi bezpečnostními týmy sdíleny jen v omezené míře a nejsou tak plně využívány pro ochranu infrastruktury jako celku.

Cíl projektu

Hlavním cílem projektu je vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v ČR. Účelem je predikovat další možný vývoj útoku a omezit dopad tohoto útoku na národní kyberprostor. Tento systém umožní včasnou výměnu informací o zjištěných bezpečnostních událostech mezi zapojenými organizacemi (včetně národního a vládního bezpečnostního týmu ČR). Dále bude analyzovat a poskytovat cenné informace o aktuálně se šířících hrozbách.

Zjištěné informace budou pomocí systému předávány zapojeným organizacím za účelem přípravy jejich obrany na příchozí hrozbu. Výsledky budou rovněž využity pro sledování trendů hrozeb v národním kyberprostoru, což může být využito ke zdokonalování kyberbezpečnostního systému ČR. Vzhledem k předávání citlivých informací mezi různými subjekty budou řešeny i právní aspekty sdílení a použití informací (s ohledem na zachování soukromí).

V projektu budou zkoumány možnosti korelace různých typů bezpečnostních událostí pocházejících z národního kyberprostoru. Dále budou prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informací pro podporu odvrácení hrozícího útoku.

Řešené oblasti

• Plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků generujících tyto události. Z tohoto důvodu bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (např. Honeypoty, systémy behaviorální analýzy, logy) a také tzv. systémy třetích stran (např. N6, ShadowServer, UCEPROTECT).

• Inteligentní analýza bezpečnostních událostí – za účelem odvození agregované a korelované informace z velkého množství bezpečnostních událostí budou zkoumány metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech.

• Využití výsledků inteligentní analýzy pro zvýšení ochrany. Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (např. firewall, IPS, filtry). To umožní distribuci výsledků analýz a jejich využití k ochraně infrastruktury.

• Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí. Za účelem zjišťování nových hrozeb, ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu na volitelné úrovni detailu dovolující hlubší náhled do podstaty hrozeb.

• Podpora filtrace a možnost (částečné) anonymizace sdílených dat. Tento dílčí cíl prostupuje průřezově všemi ostatními a jeho cílem je zajistit vysokou kvalitu dat a zachovat citlivé údaje pod kontrolou zapojených organizací.

Identifikace právních aspektů sdílení událostí. Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší, za účelem analýzy potenciálně problematických postupů a procesů z pohledu práva a návrh metodických postupů při využívání stávajících a vyvíjených technologií.

 

IDENTIFIKAČNÍ KÓD

VI20162019029

 

PARTNER

POSKYTOVATEL

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.