Transcript prezentace ke stažení

Computer Incident Response Capability
rezortu MO
Richard Složil
VII. konference ČIMIB
PRAHA
Významné milníky
•
•
•
•
•
•
•
Summit NATO 2002, Praha
Studie implementace CIRC (2005)
Vznik střediska CIRC (1. ledna 2007)
Sestavení pracoviště CERT (duben 2007)
Start dohledu nad sítěmi operátorem CIRC (IDET 2009)
Reorganizace na nové podmínky (1. ledna 2011)
Start nepřetržitého monitoringu operátorem CIRC
(1. ledna 2012)
Členění technického centra
kybernetické obrany
Vedení
Koordinace
Řešení bezp.
incidentů
a zranitelností
CERT
Informační
podpora (PR)
Operátor
Bezpečnostní
technologie
Analýzy
Procesy a role
 Incident Handling (hrozby a incidenty)
•
•
•
•
•
Nepřetržitý monitoring (sítí, IS, webů apod.) operátorem
Analýzy událostí skupinou analytiků
Řízení řešení bezpečnostních hrozeb a incidentů
Reportování událostí a tvorba postupů řešení
Kooperace s partnery, sdílení informací
 Vulnerability Handling (zranitelnosti)
•
•
•
•
•
Testování IS, aktivních prvků sítí a získávání dat (např. od uživatelů IS)
Analýzy událostí skupinou analytiků
Řešení bezpečnostních hrozeb a incidentů
Reportování událostí a tvorba postupů řešení
Kooperace s partnery, sdílení informací
Procesy a role
Provoz a rozvoj bezpečnostních technologií
•
•
•
•
Administrace technologií a nástrojů
Aktualizace firmware, záplat a signatur
Řešení servisních zásahů
Rozvoj stávajících a nasazování nových technologií
Šíření bezpečnostního povědomí
• Provoz informačního portálu a šíření informací mezi uživatele
• Tvorba bulletinů a informačních zpráv
• Návody a pracovní postupy
Technologie a nástroje
 Bezpečnostní technologie pro monitoring
•
•
•
Síťové senzory typu IDS – kontrola dle předdefinovaných pravidel (signatury)
Síťové senzory typu NetFlow – zjišťování anomálií datových toků
Analytické nástroje pro sběr a vyhodnocování korelovaných událostí
 Nástroje pro workflow
•
•
•
•
Incident Desk - tiketovací nástroj 2. generace (koncipované jako právní dokument)
Wiki a knowledge base (ukládání a třídění informací a pracovních postupů)
Alerter (autonomní nástroj pro rychlé vyrozumění)
Komunikační a informační portál
 Podpůrné SW nástroje
•
•
•
•
•
Skenování zranitelností
Vyhledávání škodlivých kódů
IT testovací střelnice (virtualizované prostředí)
Dohled dostupnosti technologií
Zdroj bezpečnostních záplat, antiviry
Wiki a knowledge base
Detailní návody a
technické postupy
Databáze
bezpečnostních
hrozeb
Monitoring
informací z medií
s bezpečnostní
tematikou
Statistiky
Bezpečnostní hrozby
a incidenty
•
•
•
•
•
•
Viry a škodlivý malware
Spam
Skenování sítě
Pokusy o průniky do systémů (lámání hesel)
Hactivismus
Chyby uživatelů
Spolupráce
Masarykova univerzita → NetFlow sondy, projekt CYBER
Cesnet → CERTs, Honeypoty
Univerzita obrany → Kurzy, školení
Děkuji za pozornost
podplukovník
Ing. Richard Složil
[email protected]
[email protected]