Mezinárodní spolupráce v boji
proti kybernetickým hrozbám
BSS152: Kybernetická válka PhDr. Roman Pačka
2
DISCLAIMER: Názory prezentované v této přednášce jsou výhradně
názory autora a nemusí nutně reprezentovat stanoviska a názory
NÚKIB, potažmo NCKB.
KYBERNETICKÉ HROZBY
3
Kybernetická kriminalita
•Trestná činnost, pro kterou je určující vztah k software, k datům, respektive
uloženým informacím, respektive veškeré aktivity, které vedou k
neautorizovanému čtení, nakládání, vymazání, zneužití, změně nebo jiné
interpretaci dat
Kybernetický terorismus
• Kyberterorismus zahrnuje agresivní a excesivní jednání, které je prováděno se záměrem
vyvolat strach ve společnosti, a jehož prostřednictvím je dosahováno politických,
náboženských nebo ideologických cílů. Za využití kyberprostoru a informačních a
komunikačních technologií ohrožuje chod státu, jeho ústavní zřízení nebo
obranyschopnost mimo jiné cílením na kritickou informační infrastrukturu a významné
informační systémy.
Kybernetická špionáž
•Užití/zneužití ICT s cílem získat citlivé informace bez souhlasu jeho
držitele/majitele. Provádí ji státní i nestátní aktéři za účelem získání strategické,
ekonomické, politické,
nebo vojenské převahy.
Kybernetická válka
•Národní stát (či skupiny podporované státem) cílí na sítě a systémy jiného státu za
účelem jejich zničení či narušení, způsobení škody, extrakce/zničení citlivých
informací, narušení bojeschopnosti, apod. Útoky provádí především specializované
vojenské/zpravodajské jednotky.
Proč je nutná mezinárodní spolupráce?
o Relativní nezávislost kyberprostoru na
geografických/policy hranicích
o Většina kybernetických bezpečnostních incidentů má
přeshraniční/mezinárodní povahu
o Problematika vymáhání práva v kyberprostoru
4
Mezinárodní spolupráce
o Mnoho úrovní: přeshraniční, regionální, mezinárodní, …
o Mnoho dimenzí: kyberkriminalita, kyberterorismus,
incident response, …
o Mnoho druhů: sdílení dat a informací, memoranda,
konvence, …
o Mnoho aktérů: mezinárodní
organizace, vlády/stát,
soukromý sektor,
akademie, …
5
6
Historie spolupráce v kybernetické
bezpečnosti: 1988 - Morris worm
7
8
9
10
11
o Další názvy, s kterými se můžeme setkat
jsou např.:
o IRT (Incident Response Team),
o CIRT (Computer Incident Response Team),
o SERT (Security Emergency Response Team),
o CIRC (Computer Incident Response Centre)
o a další
o Všechny spojuje zvládání a řešení
kybernetických bezpečnostních
incidentů – incident handling/response
o V každém státě na vrcholové úrovni
min. 1 TOP-level CERT/CSIRT
12
TYPY CERT/CSIRT
o Národní/vládní
(GovCERT.CZ, SingCERT)
o Regionální (TF-CSIRT,
AfricaCERT)
o Sektorový (ICS-CERT)
o Akademický (CESNET-
CERTS)
o Vojenský (Centrum CIRC)
o Interní (ACTIVE24-CSIRT,
CSOB-Group-CSIRT)
o Koordinační (GovCERT.CZ,
US-CERT)
o Produktové (Cisco PSIRT,
Adobe PSIRT)
o Byznys / Poskytovatelé
incident handling (Team
Cymru, Nixu, Mandiant)
o …
13
Constituency
o Pole působnosti – Soubor subjektů, kvůli kterým byl
CERT/CSIRT vytvořen/komu poskytuje a nabízí služby
o Constituency může být jak neomezená, kdy CERT/CSIRT
poskytuje služby komukoliv, nebo omezená (ve většině
případů), kdy poskytuje své služby jen vybrané, úzké
komunitě
o Může být však obtížné přehledně a jednoduše definovat
constituency
o RFC 2350 standard (základní info o možnostech
kontaktování, odpovědnosti a nabízených službách)
14
o veřejné instituce a kritická informační infrastruktura v
České republice
o celá Česká republika, tzn. všichni uživatelé a všechny sítě
provozované v České republice se nachází ve sféře vlivu
CSIRT.CZ
15
o Constituency bezpečnostního týmu Masarykovy univerzity
CSIRT-MU může být definována:
o „univerzitní síť Masarykovy univerzity“
o skrze doménu „*.muni.cz“ (tj. fss.muni.cz;
ff.muni.cz; apod.)
o a skrze rozsah IP adres (všechny IPv4 adresy z rozsahu
147.251.0.0/16, všechny IPv6 adresy z rozsahu
2001:718:801::/48)
16
CERT/CSIRT – činnosti a aktivity
o Důležitá je kooperace a důvěra se svou constituency a
ostatními CERT/CSIRT
o Esenciální součástí zvládání a řešení kybernetických
bezpečnostních incidentů + další služby (ovlivňuje
finanční prostředky, technologické vybavení a lidský
kapitál)
o CERT/CC vytvořil základní klasifikaci CERT služeb, která
by měla sloužit k větší konzistenci a srovnatelnosti popisu
CERT služeb
17
FIRST
o Založeno 1990
o Forum for Incident Response and
Security Teams
o Sdružuje CERT komunitu na globální
úrovni
o Hlavním cílem: sdílení informací a
zkušeností mezi CERT pracovišti a
pomoc při rozsáhlých kybernetických
bezpečnostních incidentech
o Aktuálně stovky členů
o Status: member
18
19
20
TI-GÉANT
o 2000 – založena evropská komunita
CERT/CSIRT týmů za účelem řešení
společných potřeb a budování
infrastruktury, která by poskytovala
důležitou podporu všem bezpečnostním
týmům, zaměřeným na řešení a řízení
bezpečnostních incidentů
o Pro akreditované / certifikované týmy
jsou k dispozici služby, které jim umožní
efektivněji spolupracovat a účinněji si
vyměňovat informace
21
TI-GÉANT
o Status:
o Listed (splnění základních požadavků)
o Accredited (náročnější proces –
standardní stupeň)
o Certified (pouze malá část týmů
/ potvrzení vysoké vyspělosti týmu)
o TRANSITS / TF-CSIRT meetings
o Další regionální platformy: AfricaCERT,
APNIC, …
22
23
24
25
26
27
28
29
30
31
Kultura CERT/CSIRT komunity
o CERT/CC jako pionýr a prapůvodce komunity
o Celá komunita sdílí několik klíčových principů, které
pramení ze společného přesvědčení, chápání a pohledu na
kybernetickou bezpečnost
o Důležitost vzájemné komunikace a především důvěry mezi
členy, jako důležité prerekvizity k účinné a úspěšné
spolupráci
o Problém navyšování důvěry/spolupráce („Hlava 22“):
o Nezbytnost – iniciuje kooperaci s možným pozitivním výsledkem
o Trusted introducer – založeno na dobrých vztazích mezi členy
(využíváno např. v FIRST, TF-CSIRT)
o Příležitost – vytváří vazby mezi členy / zapojování se do chodu
komunity (např. vývoj bezp. nástrojů)
32
33
Sdílení informací a dat
34
Sdílení informací a dat
o Nejrůznější informace a data od dalších CSIRT,
AV společností, ISP, a dalších partnerů
o Feedy/fóra:
Malc0de; Malware Domain List; Shadowserver; Zone-H;
Phishtank; Abuse.ch, …
35
36
Co se sdílí?
o Indikátory kompromitace (IoCs): virové signatury,
škodlivé IP adresy, malware soubory, URL,
doménové jména
o Kontextové informace např. o malware
kampaních, informace o modu operandi
útočníků,
o Případové studie a reporty o incidentech,
o Varování o možných či potenciálních obětech
útoku,
o Dešifrovací klíče u ransomware útoků,
o Detaily zájmových účtů na sociálních sítích a
další
37
38
https://www.phishtank.com/
39
http://www.malwaredomainlist.com/mdl.php
Jak a kolik se toho sdílí?
40
41
42
Problémy sdílení informací a vzájemné důvěry
o Otázka odpovědnosti / poškození reputace / důvěry
constituency
o Vnitrostátní právní předpisy (např. zákony o datové
lokalizaci, GDPR)
o Čína, Vietnam, Írán, Rusko X Austrálie, Kanada
o Různé důvody/politické cíle:
o od zajištění ochrany osobních údajů svých občanů
o až k ochraně státní suverenity
o či podpoře růstu domácí digitální ekonomiky
43
Stát vs. CERT/kybernetická bezpečnost
o V posledních několika letech
téma kybernetické bezpečnosti
katapultováno z uzavřeného
prostředí technických expertů
až na politické výsluní
o Vertikální/horizontální
o Virus Stuxnet / nárust
kyberkriminality/
kyberšpionážní kampaně /
Estonsko 2007 / 11. září 2001
→ Politizace / sekuritizace
tématu
44
45
< 2011
2011
Teď
ICS/SCADA
cyber security
46
< 2011
2011
OMG
STUXNET
Teď
ICS/SCADA
cyber security
47
Národní CERT vs. zpravodajské služby a policie
o Společný cíl: zabezpečení kyberprostoru
o Rozdílná mise / mandát / úroveň expertízy / pohled na KB
o Národní/vládní CERT: hlavní priorita – ochrana IS a
KS/infrastruktury před zranitelnostmi/útoky
o LE/IA: hlavní priorita – redukovat počet
hrozeb/fokus na aktéry; vnímání
kybernetické bezpečnosti
jako záležitost fyzické a národní
bezpečnosti
48
Národní CERT vs. zpravodajské služby a policie
o Řešení incidentu vs. využití incidentu
o Problematický vztah některých LE/IA s některými vendory
o Blízký vztah CERT a LE/IA může podrýt důvěru CERT
o Spory pramení z nepochopení poslání a kultury CERT komunity
o Jak naložit se 0-day zranitelnostmi?
49
Komercionalizace kybernetické bezpečnosti
o Komodifikace a kumulace zranitelností (zero-days vulnerabilities)
o Zdroj financí např. pro soukromé firmy (nákup/vyhledávání)
o Podporuje konkurenční prostředí (paradoxně nenavyšuje
kyberbezp.)
o Případ NSA / státem kupované zranitelnosti?
o Negativně působí na spolupráci v CERT komunitě
50
51
o Případ FBI (FOIA) – posouzení obecně kybernetické bezpečnosti,
zabezpečení informací, rozvědné a kontrarozvědné aktivity, vymáhání
práva, vojenské ofenzivní operace a ochrana kritické infrastruktury
52
Národní CERT vs. zpravodajské služby a policie
o Výhody spolupráce:
o Efektivnější řešení a koordinace incidentů
o Kontextualizace kybernetických útoků / incidentů
o Odstrašení nepřátel / útočníků
53
o Dříve neexistence enormní nutnosti spolupráce
(civilního a vojenského sektoru)
o Omezeno na spolupráci v CERT komunitě
o NATO summit 2014, 2016 + narůstající
závislost na kyberprostoru
a kritičnost jeho
selhání
54
Národní CERT vs. vojenské složky
Národní CERT vs. vojenské složky
o Vnější vs. vnitřní bezpečnost
o Kybernetická obrana vs. bezpečnost
o Atribuce?
55
???
56
Národní CERT vs. vojenské složky
o Role CSIRT/CERT?
57
Kybernetická obrana
Situace
Válka / Ozbrojený konflikt
Mírový stav
Technika kybernetické
obrany
Kybernetické síťové
operace / nasazení
kybernetických zbraní
Aktivní kybernetická
obrana / hack back
Defenzivní kybernetická
obrana / fortifikace
Národní CERT vs. vojenské složky
o Role CSIRT/CERT?
58
Kybernetická obrana
Situace
Válka / Ozbrojený konflikt
Mírový stav
Technika kybernetické
obrany
Kybernetické síťové
operace / nasazení
kybernetických zbraní
Aktivní kybernetická
obrana / hack back
Defenzivní kybernetická
obrana / fortifikace
Národní CERT vs. vojenské složky
o Role CSIRT/CERT?
59
Typ Popis Příklady
Vojenská CSIRT
pracoviště
- Zajišťování kybernetické bezpečnosti
vojenských systémů a sítí
- Detekce a řešení incidentů spolu
s kontinuálním navyšování robustnosti a
odolnosti vojenské infrastruktury
Centrum-CIRC
FR-MIL-CERT
Vojenské jednotky
kybernetické
obrany
- Zajišťování kybernetické obrany státu
- Nasazování ofenzivních kapacit
v kyberprostoru k defenzivním i ofenzivním
účelům
USCYBERCOM
Defense Cyber
Command (DCC)
Národní CERT vs. vojenské složky
o Válčení je stále považováno za exkluzivní vojenskou
záležitost X velká závislost na civilním sektoru
o „Vábení“ tradičního myšlení / aplikace na
kyberprostor problematická (role doktrín?)
o Spolupráce při defenzivní a ofenzivní části
kybernetické obrany?
o Zapojení do CERT komunity? (CSIRT.MIL.SK)
60
61
Mezinárodní spolupráce: ČR
62
63
Strategičtí partneři
o U.S. – Federal Bureau of Investigation,
US Department of Homeland Security,
Department of Defense, Microsoft, Cisco
Systems a další
o South Korea – intelligence community
o Israel – Ministry of Defense Security Authority
(MalMab), National Cyber Bureau, CyberGym
Cyber attaché – US, (Israel), Brussels
(EU/NATO)
Mezinárodní spolupráce: ČR
64
Cyber attachés
o Prohlubování vztahů a bilaterální spolupráce se strategickými
partnery – the U.S. and Israel
o Zisk lepšího přehledu o diskuzi v otázkách kybernetické
bezpečnosti – NATO/EU instituce
o Snadnější prosazování národních priorit v zahraničí a lepší
koordinace aktivit jednotlivých úřadů/resortů v lybernetické
bezpečnosti a spjatých oblastech
Mezinárodní spolupráce: ČR
o Pravidelné sdílení analytických výstupů / informací a
dat s vybranými subjekty/agenturami
o Provádění TTX pro USCYBERCOM, NATO ACT, Norfolk
and U. S. academia and think tanks
o Pravidelné návštěvy a bilaterální jednání s vybranými
subjekty/agenturami
o Lekce: např. George C. Marshall Center - European
Center for Security Studies (Program on Cyber Security
Studies – PCSS), U.S. Congress
Příklad spolupráce s USA
GovCERT.CZ
66
Poslání a Constituency
 Poslání: Přispívat k navyšování ochrany a zabezpečení KII
a státních orgánů, respektive pomoci jim účinně čelit
bezpečnostním výzvám, reagovat na incidenty,
koordinovat kroky k jejich řešení a účinně jim
předcházet.
 Constituency: veřejný sektor a kritická informační
infrastruktura
 Typ: Vládní/Koordinační tým (nejedná se o interní typ)
Detekce incidentů
 Nasazení síťových sond
 Nasazení honeypotů
 Analýza indikátorů kompromitace a
dalších veřejně dostupných dat
 Systém včasného varování
Zdroje informací / spolupráce
 Novinky, studie, diskuzní fóra / OSINT
 Analýzy AV společností, CERT týmů a dalších
partnerů
 Microsoft‘s Cyber Threat Intelligence Program
 Strojově zpracovávané zdroje (IoC)
 Shadowserver, Phishtank, MalwareDomainList, …
 Zejména identifikace infekce / špatné konfigurace
 Sondy, honeypoty
Sdílení informací
o Informace o zranitelnostech
o Informace o možných hrozbách
o Shrnutí nedávných útoků a hrozeb
o Agregovaná strojově zpracovávaná data, zranitelnosti
o Ad-hoc analýzy v případě potřeby
o Komunitní webový portál
o Agregovaný report z dostupných zdrojů (Shadowserver,
Microsoft, atd.)
o Informace o probíhajících útocích, incidentech
o Privátní fórum pro bezpečnostní týmy a další zainteresované
organizace
72
Roman Pačka
mail: r.packa@nukib.cz / 333252@mail.muni.cz
web: www.govcert.cz
twitter: @GOVCERT_CZ