Smysl projektu

Kybernetickou ochranu počítačových sítí, provozovaných služeb i uživatelů zajišťují v současné době převážně samostatné subjekty (provozovatelé sítí, služeb, bezpečnostní týmy). Na základě výsledků detekce bezpečnostních událostí, incidentů a útoků, které mají dopad na provozovanou infrastrukturu, jsou přijímána ochranná protiopatření. Tyto bezpečnostní informace sdílí subjekty ve velmi omezené míře, proto nedochází k plnému využití jejich potenciálu pro ochranu infrastruktury jako celku.

Naším hlavním cílem v projektu SABU je vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v České republice, včetně Národního a Vládního bezpečnostního týmu. Včasná výměna informací mezi zapojenými organizacemi usnadní predikci dalšího vývoje útoku, pomůže organizacím s přípravou obrany na hrozbu a tím pádem omezí dopady útoků na národní kyberprostor.

Technologie a specifika

• Sběr a sdílení bezpečnostních událostí
  Systém umožní plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků generujících tyto události. Bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (například Honeypoty, systémy behaviorální analýzy, logy) a také tzv. systémy třetích stran (například N6, ShadowServer, UCEPROTECT).

• Inteligentní analýza bezpečnostních událostí
  Výzkum se zaměřuje na metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech. Výsledkem bude odvození agregované a korelované informace z velkého množství bezpečnostních událostí. Analýza šířících se hrozeb otevírá možnost dlouhodobě sledovat trendy hrozeb a postupně zdokonalovat kyberbezpečnostní systém ČR.

• Korelace různých typů bezpečnostních událostí z národního kyberprostoru
  V projektu budou dále prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informacípro podporu odvrácení hrozícího útoku.

• Zvýšená ochrana organizací
  Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (například firewall, IPS, filtry). To umožní distribuci výsledků inteligentních analýz a jejich využití k ochraně infrastruktury.

• Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí
  Za účelem zjišťování nových hrozeb a ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu. Volitelná úroveň detailu umožní hlubší náhled do podstaty hrozeb.

• Podpora filtrace a možnost (částečné) anonymizace sdílených dat
  Hlavním cílem je zajistit vysokou kvalitu dat ve všech ohledech. Za prioritu považujeme zachování citlivých údajů kontrolou zapojených organizací. Vzhledem k předávání citlivých informací mezi různými subjekty neopomínáme také právní hlediska sdílení a použití informací (s ohledem na zachování soukromí).

• Identifikace právních aspektů sdílení událostí
  Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší. Hlavní záměr je analyzovat potenciálně problematické postupy a procesy z pohledu práva a navrhnout metodické postupy pro využívání stávajících a vyvíjených technologií.

Úspěchy projektu

Technologii projektu se chystáme v příštím roce přenést do zahraničí a zasadit se nejen o navázání internacionální spolupráce, ale také o zvyšování bezpečnostní obezřetnosti a sdílení na mezinárodní úrovni.

IDENTIFIKAČNÍ KÓD

VI20162019029

PARTNER

POSKYTOVATEL