Sdílení a analýza bezpečnostních událostí 


Cílem projektu Sdílení a analýza bezpečnostních událostí (SABU) je vývoj systému pro inteligentní analýzu a efektivní předávání informací mezi bezpečnostními týmy. Tento systém umožní predikci vývoje útoků a omezení jejich dopadů na národní kyberprostor.
CSIRT-MU na projektu spolupracuje se sdružením CESNET.

Smysl projektu

Kybernetickou ochranu počítačových sítí, provozovaných služeb i uživatelů zajišťují v současné době převážně samostatné subjekty (provozovatelé sítí, služeb, bezpečnostní týmy). Na základě výsledků detekce bezpečnostních událostí, incidentů a útoků, které mají dopad na provozovanou infrastrukturu, jsou přijímána ochranná protiopatření. Tyto bezpečnostní informace sdílí subjekty ve velmi omezené míře, proto nedochází k plnému využití jejich potenciálu pro ochranu infrastruktury jako celku.

Naším hlavním cílem v projektu SABU je vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v České republice, včetně Národního a Vládního bezpečnostního týmu. Včasná výměna informací mezi zapojenými organizacemi usnadní predikci dalšího vývoje útoku, pomůže organizacím s přípravou obrany na hrozbu a tím pádem omezí dopady útoků na národní kyberprostor.

Technologie a specifika

  • Sběr a sdílení bezpečnostních událostí
    Systém umožní plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků generujících tyto události. Bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (například Honeypoty, systémy behaviorální analýzy, logy) a také tzv. systémy třetích stran (například N6, ShadowServer, UCEPROTECT).

  • Inteligentní analýza bezpečnostních událostí
    Výzkum se zaměřuje na metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech. Výsledkem bude odvození agregované a korelované informace z velkého množství bezpečnostních událostí. Analýza šířících se hrozeb otevírá možnost dlouhodobě sledovat trendy hrozeb a postupně zdokonalovat kyberbezpečnostní systém ČR.

  • Korelace různých typů bezpečnostních událostí z národního kyberprostoru
    V projektu budou dále prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informacípro podporu odvrácení hrozícího útoku.

  • Zvýšená ochrana organizací
    Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (například firewall, IPS, filtry). To umožní distribuci výsledků inteligentních analýz a jejich využití k ochraně infrastruktury.

  • Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí
    Za účelem zjišťování nových hrozeb a ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu. Volitelná úroveň detailu umožní hlubší náhled do podstaty hrozeb.

  • Podpora filtrace a možnost (částečné) anonymizace sdílených dat
    Hlavním cílem je zajistit vysokou kvalitu dat ve všech ohledech. Za prioritu považujeme zachování citlivých údajů kontrolou zapojených organizací. Vzhledem k předávání citlivých informací mezi různými subjekty neopomínáme také právní hlediska sdílení a použití informací (s ohledem na zachování soukromí).

  • Identifikace právních aspektů sdílení událostí
    Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší. Hlavní záměr je analyzovat potenciálně problematické postupy a procesy z pohledu práva a navrhnout metodické postupy pro využívání stávajících a vyvíjených technologií.

Úspěchy projektu

Technologii projektu se chystáme v příštím roce přenést do zahraničí a zasadit se nejen o navázání internacionální spolupráce, ale také o zvyšování bezpečnostní obezřetnosti a sdílení na mezinárodní úrovni.

 

IDENTIFIKAČNÍ KÓD

VI20162019029

 

PARTNER

 https://webcentrum.muni.cz/media/3053467/cesnet_rgb.png?width=209&height=92 

POSKYTOVATEL

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.