Project

General

Profile

Wiki »

Vize a cíle 2012

WARDEN: systém pro efektivní sdílení informací o detekovaných hrozbách mezi CSIRT týmy.

Funkcionalita

WARDEN byl měl v první řadě plnit základní funkci vícenásobné fronty („vylej“ a „nalej“), tzn. měl by sloužit jako systém, do kterého správci sítí posílají data o detekovaných hrozbách, která jsou ochotni poskytnout (a která se nutně nemusí primárně týkat jejich sítě) a naopak si stahují data, která je nějakým způsobem zajímají a ta dále zpracovávají ve svých systémech. Prostě jednoduchý základ, který umožní oboustranný tok dat a jejich další zpracování, a následně rozvoj nadstavbových řešení, klientů a mechanismů pro zpracování dat.

Vize a cíle

  1. podpora IH a IR procesu CESNET-CERTS v CESNET2 (Warden je zdroj dat), aneb CESNET-CERTS provede zpracování a zašle upozornění do koncových sítí (nezapojených do Wardenu). V tomto modelu se Warden stává podobným zdrojem dat jako např. Shadow, TeamCymru, UCE ...,
  2. generování bl a wl pro např. antispam, antiphishing obranu,
  3. otestování průchodnosti takového systému, aneb jaká je reálná možnost zpracování informací tohoto typu ze sítě velikosti CESNET2 a
  4. zjistit co jsme vůbec schopni pomocí takového systému ze sítě CESNET2 posbírat
  5. zjistit možnosti analýzy takových dat, jejich vypovídací hodnotu:
    • a) trendy, náchylnost sítí na určité problémy v závislosti na použitých prvcích, adresacích, typech uživatelů a pod.?
    • b) šíření a nakažlivost BI?
    • c) vystopovat počátek BI?
    • d) doplnění a ověření již známých informací o incidentu z dalších zdrojů

Další postup

  • A) postupné zapojení členských (a případně dalších) sítí připojených do sítě CESNET2
  • B) propojení se systémem IH a IR CESNET-CERTS (případně CSIRT.CZ)
  • C) spuštění systému Warden na národní úrovni ve spolupráci s CZ.NIC

Další rozvoj

  • I) klienti, komunitní spolupráce v napojení na existující nástroje (wl, bl)
  • II) zpracování dat (možnosti globálních bl a wl)
  • III) korelace dat (ve spolupráci s dalšími projekty CESNETu)

Další možný rozvoj a postup

  • teoreticky propojení systému s dalšími podobnými systémy provozovanými (a vyvíjenými) ve světě
  • grant nebo projekt, kde Warden bude dodavatelem dat a vývojovým prostředím

Rok 2012

...

do 17.5. - 25.5.:
  • instalace u uživatelů, osahání
do 8.6.:
  • přechod
do 15.6.:
  • stabilizace serveru
  • dokumentace serveru
do 30.6.:
  • rpm, deb balíčky
  • zhodnocení, feedback uživatelů
po (start) 30.6.:
  • model db - multiatribut pro zdroj útoku
  • další na základě feedbacku
červen, červenec, srpen ...
  • získání nových uživatelů a zapojení dalších institucí/sítí
do 30.7.
  • propojení se systémem Mentat (body 5. a III.)
  • start nutno upřesnit dle časových možností MK a JM
do 30.9.
  • technická zpráva

Paralelní akce:

start květen, červen
  • body 1., 5. a B začne zpracovávat Dan Studený, v oblasti „náhled na data“ se zapojí Bodík a M. Kostěnec
  • bod 4. začne zpracovávat Dan Studený
  • propojení se systémem Mentat (body 5. a III.)
  • bod C – Andrea

Výsledky z těchto oblastí určí další rozvoj Wardenu pro období od září 2012

Use case

Koncové sítě

Masarykova univerzita (CSIRT-MU, Honza Vykopal)

  • chci vědět, co o strojích v mé správě zjistili ostatní zapojené organizace
  • chci na základě informací z Wardenu blokovat potenciálně nebezpečné zdroje, které by mohly zaútočit na MU
  • data z Wardenu chci použít pro další výzkum v síťové bezpečnosti, např. možnosti vizualizace, agregace a korelace dat
  • chci poskytnout informace o podezřelých strojích ostatním s minimálním usilím (nemusím řešit já - "rozešle" Warden)

Západočeská univerzita v Plzni (WIRT, Aleš Padrta)

  • chci vědět, co o strojích v mé správě zjistili ostatní zapojené organizace
  • chci poskytnout informace o podezřelých strojích ostatním s minimálním usilím (nemusím řešit já - "rozešle" Warden)

Ze zápisů, Bodík, Kostěj:

  • overovaci dotazy, 24 hodin zpetne staci
  • prijimaci cast: data o utocnicich z webnetu, kteri zlobi jinde
    jeho IDS jednou za den poslou email, tedy v prve rade reporting
    chce vsechno, co se tyka jeho site a Metacentra, je jedno, jakeho typu
    nepotrebuju centralu na komplikovane dotazy
    ALE podporuje udrzovat celou historii
  • vysilaci - publikovat vsechno, co tece z IDS v Plzni
    (tj. např. i hashe binárek, nachytaných z honeypotů)

VŠB (ze zápisů) (Radek Orkáč)

  • den zpatky legitimni, obecne dotazy povazuje mimo zamereni projektu
  • phishing, generovani blacklistu, chybi slozeny atribut nebo strukturovana
    data
    (např. pro phishing - url z mailu, reply-to, ip mailserveru, pro
    dc/torrent - md5 stahovaného obsahu)

Cesnet (CESNET-CERTS, Pavel Kácha)

  • podpora incident handlingu - data z Wardenu proudí do lokálního úložiště
    (datový model IDMEF) a členové CESNET-CERTS se mohou podívat, jak
    postižené či útočící stroje vidí sondy v jiných organizacích, případně na
    jejich základě rozesílat reporty standardní cestou
  • vytvoření globálních blacklistů
  • využití pro analýzu dat
  • jednoduché poskytnutí informací z našich detekčních nástrojů ostatním