ROLE CERT/CSIRT
v NÁRODNÍ BEZPEČNOSTI
BSS469: Kybernetická bezpečnost PhDr. Roman Pačka
HISTORIE
o 1988 – Morrisův červ
o Autor: Robert T. Morris
o Červ aktivován ze stanice v
MIT
o Zranitelnost v Unix /
ovlivněn celý internet (až
10% stanic nakaženo)
o Motiv: ?
o Usvědčen dle 1986 computer
Fraud and Abuse Act
o Trest: community service,
pokuta, 3 roky probace
2
3
HISTORIE
o Vznik PS
(MIT, Berkeley, Purdue, …)
o Institucionalizace řešení
kybernetických
bezpečnostních incidentů
→ The CERT® Coordination
Center (CERT®/CC)
o CERT®/CC, jakožto pionýr –
stále funguje pod Carnegie
Mellon University (TM
„CERT“)
o V Evropě SURFnet-CERT
(1992)
4
5
6
CERT/CSIRT
o Dalšími názvy, s kterými se můžeme
setkat jsou například:
o IRT (Incident Response Team),
o CIRT (Computer Incident Response Team),
o SERT (Security Emergency Response Team),
o CIRC (Computer Incident Response Centre)
o a další.
o Všechny spojuje zvládání a řešení
kybernetických bezpečnostních
incidentů
o V každém státě na vrcholové úrovni
nějaký CERT/CSIRT
7
Rozsah činnosti pracoviště CERT/CSIRT
o V rámci určení pracovního rámce každého pracoviště
CERT/CSIRT jsou vždy nejzásadnější tyto tři otázky, které
dále definují rozsah činnosti CERT/CSIRT :
1. Jaké má CERT/CSIRT poslání? (základní principy,
strategické cíle, úkoly a priority, …)
2. Jaká je CERT/CSIRT constituency? (pole působnosti)
3. Jaké je organizační zakotvení CERT/CSIRT? (definice
pozice v rámci interní/externí organizační struktury a
systému krizového řízení)
8
Constituency
o Pole působnosti – Soubor subjektů, kvůli kterým byl
CERT/CSIRT vytvořen/komu poskytuje a nabízí služby
o Constituency může být jak neomezená, kdy CERT/CSIRT
poskytuje služby komukoliv, nebo omezená (ve většině
případů), kdy poskytuje své služby jen vybrané, úzké
komunitě
o Může být však obtížné přehledně a jednoduše definovat
constituency
o RFC 2350 standard (základní info o možnostech
kontaktování, odpovědnosti a nabízených službách)
9
o veřejné instituce a kritická informační infrastruktura v
České republice
o celá Česká republika, tzn. všichni uživatelé a všechny sítě
provozované v České republice se nachází ve sféře vlivu
CSIRT.CZ
10
o Constituency bezpečnostního týmu Masarykovy univerzity
CSIRT-MU může být definována:
o „univerzitní síť Masarykovy univerzity“
o skrze doménu „*.muni.cz“ (tj. fss.muni.cz;
ff.muni.cz; apod.)
o a skrze rozsah IP adres (všechny IPv4 adresy z rozsahu
147.251.0.0/16, všechny IPv6 adresy z rozsahu
2001:718:801::/48)
11
TYPY CERT/CSIRT
o Národní/vládní
(GovCERT.CZ, SingCERT)
o Regionální (TF-CSIRT,
AfricaCERT)
o Sektorový (ICS-CERT)
o Akademický (CESNET-
CERTS)
o Vojenský (Centrum CIRC)
o Interní (ACTIVE24-CSIRT,
CSOB-Group-CSIRT)
o Koordinační (GovCERT.CZ,
US-CERT)
o Produktové (Cisco PSIRT,
Adobe PSIRT)
o Byznys / Poskytovatelé
incident handling (Team
Cymru, Nixu, Mandiant)
o …
12
FIRST
o Založeno 1990
o Forum for Incident Response and
Security Teams
o Sdružuje CERT komunitu na
globální úrovni
o Hlavním cílem: sdílení informací
a zkušeností mezi CERT pracovišti
a pomoc při rozsáhlých
kybernetických bezpečnostních
incidentech
o Aktuálně přes 350 členů
o Status: member
13
14
15
TI-GÉANT
o 2000 – založena evropská komunita
CERT/CSIRT týmů za účelem řešení
společných potřeb a budování
infrastruktury, která by poskytovala
důležitou podporu všem bezpečnostním
týmům, zaměřeným na řešení a řízení
bezpečnostních incidentů
o Pro akreditované / certifikované týmy
jsou k dispozici služby, které jim umožní
efektivněji spolupracovat a účinněji si
vyměňovat informace
16
TI-GÉANT
17
o Status:
o Listed (splnění základních požadavků)
o Accredited (náročnější proces –
standardní stupeň)
o Certified (pouze malá část týmů /
potvrzení vysoké vyspělosti týmu)
o TRANSITS / TF-CSIRT meetings
o Další regionální platformy: AfricaCERT,
APNIC, …
TI-GÉANT
18
19
CERT/CSIRT – činnosti a aktivity
o Důležitá je kooperace a důvěra se svou constituency a
ostatními CERT/CSIRT
o Esenciální součástí zvládání a řešení kybernetických
bezpečnostních incidentů + další služby (ovlivňuje
finanční prostředky, technologické vybavení a lidský
kapitál)
o CERT/CC vytvořil základní klasifikaci CERT služeb, která
by měla sloužit k větší konzistenci a srovnatelnosti popisu
CERT služeb
20
21
22
23
24
25
26
27
CERT/CSIRT – činnosti a aktivity
o Reaktivní služby: základní element činnosti všech CERT. Tyto
služby jsou spouštěny skrze detekovanou/nahlášenou
bezpečnostní událost/incident (incident handling, vydávání
varování, zvládání zranitelností, manipulace s artefakty, …)
o Proaktivní služby: Tyto služby poskytují pomoc a informace za
účelem připravit, chránit a zabezpečit systémy v constituency.
CERT tak proaktivně přispívá ke snížení počtu incidentů v
budoucnu (vývoj bezpečnostních nástrojů, IDS, proaktivní šíření
informací, bezpečnostní audity, …)
o Management kvality bezpečnosti: služby, které rozšiřují
stávající, již zavedené služby / přidaná hodnota (poradenství,
analýza rizik, certifikace, vzdělávání/školení, …)
28
Kultura CERT komunity
o CERT/CC jako pionýr a prapůvodce komunity
o Celá komunita sdílí několik klíčových principů, které
pramení ze společného přesvědčení, chápání a pohledu na
kybernetickou bezpečnost
o Důležitost vzájemné komunikace a především důvěry mezi
členy, jako důležité prerekvizity k účinné a úspěšné
spolupráci
o Důvěra („Hlava 22“):
o Nezbytnost – iniciuje kooperaci s možným pozitivním výsledkem
o Trusted introducer – založeno na dobrých vztazích mezi členy
(využíváno např. v FIRST, TF-CSIRT)
o Příležitost – vytváří vazby mezi členy / zapojování se do chodu
komunity (např. vývoj bezp. nástrojů)
29
30
Sdílení informací a dat
o Nejrůznější informace a data od dalších CSIRT,
AV společností, ISP, a dalších partnerů
o Feedy/fóra:
Malc0de; Malware Domain List; Shadowserver; Zone-H;
Phishtank; Abuse.ch, …
31
32
Co se sdílí?
o Indikátory kompromitace (IoCs): virové signatury,
škodlivé IP adresy, malware soubory, URL,
doménové jména
o Kontextové informace např. o malware
kampaních, informace o modu operandi
útočníků,
o Případové studie a reporty o incidentech,
o Varování o možných či potenciálních obětech
útoku,
o Dešifrovací klíče u ransomware útoků,
o Detaily zájmových účtů na sociálních sítích a
další
33
34
https://www.phishtank.com/
35
http://www.malwaredomainlist.com/mdl.php
Jak a kolik se toho sdílí?
36
37
38
Stát vs. CERT/kybernetická bezpečnost
o V posledních několika letech
téma kybernetické bezpečnosti
katapultováno z uzavřeného
prostředí technických expertů
až na politické výsluní
o Virus Stuxnet / nárust
kyberkriminality/
kyberšpionážní kampaně /
Estonsko 2007 / 11. září 2001
→ Politizace / sekuritizace
tématu
39
40
< 2011
2011
Teď
ICS/SCADA
cyber security
41
< 2011
2011
OMG
STUXNET
Teď
ICS/SCADA
cyber security
Stát vs. CERT/kybernetická bezpečnost
o Rozšíření ve dvou směrech:
Vertikálním: od expertní úrovně k
úrovni politické
Horizontálním: z USA a dalších pár
vyspělých evropských zemí do
téměř všech ostatních států světa
o Nejnovější trend: řešit
kybernetickou bezpečnosti skrze
strategicko-vojenskou optiku
(aktivní protiopatření,
kybernetická obrana, kybernetické
zastrašování, …)
42
Vybrané výzvy: CERT jako politický aktér
o Povaha CERT komunity akademická vs. fungování
státního aparátu
o Národní/vládní CERT musí nacházet ideální rovnováhu
mezi fungováním v rámci CERT komunity a plněním
politických cílů a povinností
o Národní/vládní CERT mají specifickou „netechnickou“
agendu
o Nové výzvy….
43
Vybrané výzvy: Sdílení informací a vzájemná
důvěra
o Otázka odpovědnosti / poškození reputace / důvěry
constituency
o Vnitrostátní právní předpisy (např. zákony o datové
lokalizaci)
o Čína, Vietnam, Írán, Rusko X Austrálie, Kanada
o Různé důvody/politické cíle:
o od zajištění ochrany osobních údajů svých občanů
o až k ochraně státní suverenity
o či podpoře růstu domácí digitální ekonomiky
44
Vybrané výzvy: Komercionalizace
kybernetické bezpečnosti
o Komodifikace a kumulace zranitelností (zero-days vulnerabilities)
o Zdroj financí např. pro soukromé firmy (nákup/vyhledávání)
o Podporuje konkurenční prostředí (paradoxně nenavyšuje
kyberbezp.)
o Případ NSA / státem kupované zranitelnosti?
o Negativně působí na spolupráci v CERT komunitě
45
Vybrané výzvy: Rostoucí CERT komunita /
politizace kybernetické bezpečnosti
o Status národní/vládní CERT sebou nese mnoho zodpovědnosti, ale také
benefitů (zejména lepší přístup k finančním prostředkům, citlivým
informacím, …)
o Resorty/instituce mohou usilovat o převzetí agendy /
vstup aktérů, kteří nejsou a nemají být součástí
CERT komunity
o Volby mohou mít zásadní vliv na směřování a
rozvoj CERT
→ hrozba rozkladu celého konceptu
kybernetické bezpečnosti v zemi během pár dní
o CERT obětí politického boje – negativně působí
na bezpečnostní situaci nejen na národní,
ale i na mezinárodní úrovni
46
Vybrané výzvy: Pozice CERT v systému
zajišťování národní bezpečnosti
o Rozdílné vnímání kybernetické bezpečnosti a kybernetických
hrozeb
o GOV-CERT.RU is tasked with information security and making
“recommendations on how to neutralize relevant
information security threats,” which include the use of
information and communications technology to interfere
“with the internal affairs of the sovereign state, [and]
violation of public order,“
o Může vést k porušování lidských práv, svobody slova, apod.
→ ostatní CERT se mohou vyhýbat sdílení informací, spolupráci
47
Vybrané výzvy: Kyberprostor jako nová operační
(vojenská) doména
o Aktivnější role státu v kyberprostoru / používání aktivních
prostředků a nástrojů:
o Zajišťování kybernetické obrany v reálném čase (schopnost reagovat
efektivně a dostatečně rychle)
o Schopnost aktivní identifikace a rekognoskace nepřítele
v kyberprostoru (spočívá v lokálním i vzdáleném shromažďování
informací, tj. zisk logů či dat ze síťového provozu; OSINT;
monitoring zranitelností, aj.)
o Schopnost provádět odvetné (tzv. hacking back) i preemptivní
kybernetické útoky (např. nasazení malware, modifikace síťového
provozu, provádění DoS/DDoS útoků proti útočníkovi, apod.)
o Nedotýká se přímo CERT, ale má vliv na efektivitu jeho
práci / sdílení informací, důvěru, apod. = jaká role v KO?
48
ROLE STÁTU V ZAJIŠŤOVÁNÍ KYBERNETICKÉ
BEZPEČNOSTI
49
KYBERNETICKÁ BEZPEČNOST STÁTU
Národní CERT vs. zpravodajské služby a policie
50
Národní CERT vs. zpravodajské služby a policie
o Společný cíl: zabezpečení kyberprostoru
o Rozdílný mandát / úroveň expertízy
o Národní/vládní CERT: hlavní priorita – ochrana IS a
KS/infrastruktury před zranitelnostmi/útoky
o LE/IA: hlavní priorita – redukovat počet
hrozeb/fokus na aktéry; vnímání
kybernetické bezpečnosti
jako záležitost fyzické a národní
bezpečnosti
51
52
Národní CERT vs. zpravodajské služby a policie
o Národní/vládní CERT – obnova systému, odstranění
zranitelností/snižování rizik
o Ochrana své constituency je esenciálním úkolem CERT/CSIRT
o LE – sběr důkazů, přisouzení útoků a stíhání zločinců
o IA – přisouzení útoků, sběr/analýza infa ohledně národní
bezpečnosti (vojenská, zahraniční politika)
o Řešení incidentu vs. využití incidentu
o Problematický vztah některých LE/IA s některými vendory
o Blízký vztah CERT a LE/IA může podrýt důvěru CERT
o Spory pramení z nepochopení poslání a kultury CERT komunity
o Jak naložit se 0-day zranitelnostmi?
53
Národní CERT vs. zpravodajské služby a policie
o Případ FBI (FOIA) – posouzení obecně kybernetické bezpečnosti,
zabezpečení informací, rozvědné a kontrarozvědné aktivity, vymáhání
práva, vojenské ofenzivní operace a ochrana kritické infrastruktury
54
Národní CERT vs. zpravodajské služby a policie
o Výhody spolupráce:
o Efektivnější řešení a koordinace incidentů
o Kontextualizace kybernetických útoků / incidentů
o Odstrašení nepřátel / útočníků
55
Historie CERT komunity v ČR
o 2004 – vznik CESNET-CERTS:
1. oficiálně konstituovaný CERT tým v ČR
o 2007 – CSIRT.CZ byl vybudován v rámci grantu
„Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky“
(2007 – 2010: financováno MVČR)
o Řešitelé (výherci výběrového řízení):
o Matematicko-fyzikální fakulta UK
o Právnická fakulta UK
o Fakulta sociálních věd UK
o České vysoké učení technické
o CESNET
o NESS
o Cílem vybudování modelového pracoviště typu CSIRT a ověření schopnosti
spolupráce provozovatelů sítí a služeb v ČR při řešení bezpečnostních incidentů
56
Historie CERT komunity v ČR / zapojení státu
o 2007 – po vybudování nezbytného technické a organizačního
zázemí došlo za podpory týmu CESNET-CERTS k akceptaci
týmu CSIRT.CZ světovou komunitou (Trusted Introducer)
o → CSIRT.CZ začal v ČR suplovat chybějící vrcholový
(národní/vládní) CERT tým
o Formální existence vrcholového týmu se ukázala být nutná
o 2010 – MVČR podepsalo se sdružením CZ.NIC Memorandum
→ zřízen oficiálně Národní CSIRT (CSIRT.CZ)
o 2010 – vláda ČR schválila usnesení č. 205 o řešení
problematiky kybernetické bezpečnosti a ustanovila MVČR
gestorem kybernetické bezpečnosti (zřízení CERT plánováno)
o 2011 – vláda ČR schválila usnesení č. 781 jímž ustavila NBÚ
gestorem kybernetické bezpečnosti (vznik GovCERT.CZ), …
57
CERT komunita v ČR: aktuální stav
o TOP úroveň: Národní CSIRT.CZ /
vládní GovCERT.CZ
o 40 CERT/CSIRT v ČR (vysoký počet)
o Důvody:
o Dlouhodobá podpora a osvěta komunity
ve vytváření CERT/CSIRT (např.
semináře a kurzy CZ.NIC akademie)
o Pomoc a podpora zejména u
constituency GovCERT.CZ
o Projekt Fénix (NIX.CZ, smyslem
projektu je umožnit v případě DoS
útoku dostupnost internetových služeb v
rámci subjektů zapojených do této
aktivity.)
58
59
60
Případová studie: GovCERT.CZ
1) Poslání?
2) Constituency?
3) Organizační zakotvení?
4) Rozsah poskytovaných služeb?
61
Poslání a Constituency
 Poslání: Přispívat k navyšování ochrany a zabezpečení
KII a státních orgánů, respektive pomoci jim účinně
čelit bezpečnostním výzvám, reagovat na incidenty,
koordinovat kroky k jejich řešení a účinně jim
předcházet.
 Constituency: veřejný sektor a kritická informační
infrastruktura
 Typ: Vládní/Koordinační tým (nejedná se o interní
typ)
Organizační zakotvení
 Zakotvení: NÚKIB / OKBP+ORAP
 Struktura týmu:
 Zpracování incidentů
 Vývoj a bezpečnostní testování
 Síťová bezpečnost
 Analytická skupina
Ředitel NÚKIB
Sekce provozně právní
Sekce technická
SBDVV
Sekce Národního centra
kybernetické
bezpečnosti
Vládní CERT
(GovCERT.CZ)
Oddělení analýzy
síťového provozu
Oddělení vývoje a
bezpečnostního
testování
Oddělení reaktivní
Oddělení analytické
Odbor kybernetických
bezpečnostních politik
Oddělení národních
strategií a politik
Oddělení vzdělávání a
cvičení
Oddělení mezinárodních
organizací a práva
Oddělení strategických
informací a analýz
Odbor regulace, auditu
a podpory
Oddělení regulace
Oddělení auditu
Oblasti zaměření
 SCADA/ICS systémy
 Penetrační testování
 Forenzní úkoly
 Analýza malware a reverzní inženýrství
 Virtuální prostředí a cloudová řešení
 Bezpečný vývoj a databázové systémy
 UNIXové systémy
 Windows systémy
 Síťová bezpečnost a analýza síťového provozu
 Honeypoty
Zpracování incidentů
 Hlášené incidenty přibližně 30 měsíčně
 Stabilní trend
0
2000000
4000000
6000000
8000000
10000000
12000000
14000000
1 2 3 4 5 6 7 8 9 10 11 12
Početzpracovanýchzáznamů
Měsíc
189
177 183
203
190 185
162
216
173
158
173
114
0
50
100
150
200
250
1 2 3 4 5 6 7 8 9 10 11 12
PočetIncidentů
Měsíc
Aktuální situace
 Rozsáhlé phishingové kampaně
 Velké množství škodlivého kódu, převážně
ransomware
 Špionážní malware
 Rozložení typů incidentů zůstává stejné
Detekce incidentů
 Nasazení síťových sond
 Nasazení honeypotů
 Analýza indikátorů kompromitace a dalších veřejně
dostupných dat
 Systém včasného varování
Zdroje informací / spolupráce
 Novinky, studie, diskuzní fóra / OSINT
 Analýzy AV společností, CERT týmů a dalších
partnerů
 Microsoft‘s Cyber Threat Intelligence Program
 Strojově zpracovávané zdroje (IoC)
 Shadowserver, Phishtank, MalwareDomainList, …
 Zejména identifikace infekce / špatné konfigurace
 Sondy, honeypoty
Sdílení informací
o Informace o zranitelnostech
o Informace o možných hrozbách
o Shrnutí nedávných útoků a hrozeb
o Agregovaná strojově zpracovávaná data, zranitelnosti
o Ad-hoc analýzy v případě potřeby
o Komunitní webový portál
o Agregovaný report z dostupných zdrojů (Shadowserver,
Microsoft, atd.)
o Informace o probíhajících útocích, incidentech
o Privátní fórum pro bezpečnostní týmy a další zainteresované
organizace
Aktuální projekty
 Forenzní laboratoř
 Laboratoř škodlivého kódu
 Skenování zranitelností (OWASP)
 Penetrační testování
 ICS / SCADA laboratoř
 Budování scrubbing centra
 Koordinační centrum pro české bezpečnostní týmy
 Organizace a účast na národních i mezinárodních cvičeních kybernetické
bezpečnosti
Cyber Czech 2016 / 2017
 Technické národní cvičení v kyberbezpečnosti
 Národní centrum kybernetické bezpečnosti ve spolupráci s
Masarykovou univerzitou
 Red/blue tým cvičení s více než 60 účastníky
 Každý tým odpovědný za virtuální prostředí s více než 20 stanicemi a
servery
 Komponenty hodnocení:
 Automatické skórování dostupnosti
 Negativní ohodnocení za úspěšný útok provedený red týmem
 Udržení prostředí použitelného pro práci pro koncové uživatele
 Sdílení informací a spolupráce s ostatními blue týmy
 Spolupráce a komunikace se zástupci médií
 Právní scénář
Cyber Czech 2016 / 2017
Cyber Czech 2016 / 2017
Cyber Czech 2016 / 2017
Cyber Czech 2016 / 2017
Cyber Czech 2016 / 2017
Děkuji za pozornost!
80
Roman Pačka
mail: r.packa@nukib.cz / 333252@mail.muni.cz
web: govcert.cz
twitter: @GOVCERT_CZ