ROLE CSIRT v NÁRODNÍ BEZPEČNOSTI BSSbl 152 Kybernetická válka Historie o 1988 - Morrisův červ o Autor: Robert T. Morris o Červ aktivován ze stanice v MIT o Zranitelnost v Unix / ovlivněn celý internet (až 10% stanic nakaženo) o Motiv: ? o Usvědčen dle 1986 computer Fraud and Abuse Act o Trest: community service, pokuta, 3 roky probace Histórie Vznik PS (MIT, Berkeley, Purdue, ...) Institucionalizace řešení kybernetických bezpečnostních incidentů The CERT® Coordination Center(CERT®/CC) CERT®/CC, jakožto pionýr - stále funguje pod Carnegie Mellon University (TM „CERT") V Evropě SURFnet-CERT (1992) CERT/CSIRT o Dalšími názvy, s kterými se můžeme setkat jsou například: o IRT (Incident Response Team), o CIRT (Computer Incident Response Team), SERT (Security Emergency Response Team), CIRC (Computer Incident Response Centre) a další. o Všechny spojuje zvládání a řešení kybernetických bezpečnostních incidentů o V každém státě na vrcholové úrovni nějaký CERT/CSIRT CERT/CSIRT - činnosti a aktivity o Reaktivní služby: základní element činnosti všech CERT. Tyto služby jsou spouštěny skrze detekovanou/nahlášenou bezpečnostní událost/incident (incident handling, vydávání varování, zvládání zranitelností, manipulace s artefakty, ...) Proaktivní služby: Tyto služby poskytují pomoc a informace za účelem připravit, chránit a zabezpečit systémy v constituency. CERT tak proaktivně přispívá ke snížení počtu incidentů v budoucnu (vývoj bezpečnostních nástrojů, IDS, proaktivní šíření informací, bezpečnostní audity, ...) o Management kvality bezpečnosti: služby, které rozšiřují stávající, již zavedené služby / přidaná hodnota (poradenství, analýza rizik, certifikace, vzdělávání/školení, ...) Rozsah činnosti pracoviště CERT/CSIRT o V rámci určení pracovního rámce každého pracoviště CERT/CSIRT jsou vždy nejzásadnější tyto tři otázky, které dále definují rozsah činnosti CERT/CSIRT : 1. Jaké má CERT/CSIRT poslání? (základní principy, strategické cíle, úkoly a priority, ...) 2. Jaká je CERT/CSIRT constituency? 3. Jaké je organizační zakotvení CERT/CSIRT? (definice pozice v rámci interní/externí organizační struktury a systému krizového řízení) Constituency o Pole působnosti - Soubor subjektů, kvůli kterým byl CERT/CSIRT vytvořen/komu poskytuje a nabízí služby Constituency může být jak neomezená, kdy CERT/CSIRT poskytuje služby komukoliv, nebo omezená (ve většině případů), kdy poskytuje své služby jen vybrané, úzké \ komunitě \ o Může být však obtížné přehledně a jednoduše definovat constituency RFC 2350 standard (základní info o možnostech kontaktování, odpovědnosti a nabízených službách) GOVf«a*M veřejné instituce a kritická informační infrastruktura v České republice CSIRT.CZ celá Česká republika, tzn. všichni uživatelé a všechny sítě provozované v České republice se nachází ve sféře vlivy CSIRT.CZ CSIRT-MU o Constituency bezpečnostního týmu Masarykovy univerzity CSIRT-MU může být definována: o „univerzitní síť Masarykovy univerzity" o skrze doménu „*.muni.cz" (tj. fss.muni.cz; ff.muni.cz; apod.) a skrze rozsah IP adres (všechny IPv4 adresy z rozsahu 147.251.0.0/16, všechny IPv6 adresy z rozsahu | 2001:718:801::/48) Á TYPY CERT/CSIRT o Národní/vládní (GovCERT.CZ, SingCERT) o Regionální (TF-CSIRT, AfricaCERT) o Sektorový (ICS-CERT) o Akademický (CESNET-CERTS) o Vojenský (Centrum CIRC) o Interní (ACTIVE24-CSIRT, CSOB-Group-CSIRT) o Koordinační (GovCERT.CZ, US-CERT) o Produktové (Cisco PSIRT, Adobe PSIRT) \ Byznys / Poskytovatelé incident handling (Team Cymru, Nixu, Mandiant) ... Amstsrda Kultura CERT komunity o CERT/CC jako pionýr a prapůvodce komunity o Celá komunita sdílí několik klíčových principů, které pramení ze společného přesvědčení, chápání a pohledu na kybernetickou bezpečnost \ o Důležitost vzájemné komunikace a především důvěry mezi členy, jako důležité prerekvizity k účinné a úspěšné spolupráci o Důvěra („Hlava 22"): i Nezbytnost - iniciuje kooperaci s možným pozitivním výsledkem o o „Trusted introducer" - založeno na dobrých vztazích mezi členy (využíváno např. v FIRST, TF-CSIRT) o Příležitost - vytváří vazby mezi členy / zapojování se do chodu komunity (např. vývoj bezp. nástrojů) search Advanced se ASSESS ANALYZE R "E PUBLISH CONFIGURATION TOOLS STATISTICS LOGOUT |- 06-07-2010 14:26:38 |- C6-07-2010 14:04:16 p C6-07-2010 13:46:16 |- 06-07-2010 13:46:08 c Secunftfma i-Net Solution Matrimonial Script alert,php Cross Site Scripting Vulnerability 2010-07-06 cocTr Release of Cacti 0 8 7g Beta 2 and MORE C SKurrtyf* I I t I r I I I Sun Java System Web Server Admin Interface Denial of Service Vulnerability 2010-07-06 [webapps] - Pre Multi-Vendor Shopping Malls SQL Injection Vulnerability & Auth Bypass Vulnerabilty. P 06-07-2010 13:29:52 H264WebCam NULL Pointer Dereference PoC Target H264WebCam 3.7 Impact: Denial of service I- 06-07-2010 c ScriptsFeed Auction Software "id" SOL Injection Vulnerabilities FIRST O Založeno 1990 o o o o o Fórum for Incident Response and Security Teams Sdružuje CERT komunitu na globální úrovni Hlavním cílem: sdílení informací a zkušeností mezi CERT pracovišti a pomoc při rozsáhlých kybernetických bezpečnostních incidentech Aktuálně 663 týmů ve 102 zemích Status: member if ji ImprovTh^^ecurity Together Team Official Team Name Accentu re ALEF-CSIRT Avast CERT CSIRT- SPCSS CSIRT.CZ GovCERT.CZ Accentu re Cyber Fusion Center CSIRT ALEFNULAa.s. Avast CERT CSIRT - SPCSS Czech National CSIRT Government CERT of the Czech Republic TI-GEANT o 2000 - založena evropská komunita CERT/CSIRT týmů za účelem řešení společných potřeb a budování infrastruktury, která by poskytovala důležitou podporu všem bezpečnostním týmům, zaměřeným na řešení a řízení bezpečnostních incidentů o Pro akreditované / certifikované týmy jsou k dispozici služby, které jim umožní efektivněji spolupracovat a účinněji si vyměňovat informace TF-CSIRT Trusted Introducer GÉANT^ TI-GEANT O Status: Listed (splnění základních požadavků) Accredited (náročnější proces - o o o o standardní stupeň) o Certified (pouze malá část týmů / potvrzení vysoké vyspělosti týmu) TRANSITS / TF-CSIRT meetings Další regionální platformy: AfricaCERT, APNIC, ... TF-CSIRT Trusted Introducer GÉANT^ TI-GEANT u Czech Republic ALEF-CSIRT Re-Certification Candidate (since 17 Nov 2022) CSIRT CSAS Certified (since 10 Mar 2022) CSIRT-MU Certified (since 05 Dec 2016) CSIRT.CZ Certified (since 16 Nov 2018) 2CCSIRT (CZ) Listed (since 02 Jun 2022) AC-CSIRT Listed (since 20 Aug 2021) ACTIVE24-CSIRT (CZ) Listed (since 31 May 2022) Advantech CZ PSIRT Listed (since 31 Jan 2021) ALEF-CSIRT Re-Certification Candidate (since 17 Nov 2022) ATS-CSIRT Listed (since 01 Sep 2021) Avast CERT Accredited (since 14 Dec 2020) AXENTACSIRT Accredited (since 25 Feb 2019) CASABLANCA.CZ-CSIRT Listed (since 30 Apr 2022) CDCAEC Accredited (since 17 Nov 2021) CDT-CERT (CZ) Listed (since 11 Apr 2022) CESNET-CERTS Accredited (since 27 Jan 2008) CETIN CSIRT Listed (since 22 Apr 2020) Coolhousing CSIRT (CZ) Listed (since 22 May 2022) CRA CSIRT Listed (since 28 Dec 2019) CS-CSIRT Accredited (since 23 Jan 2019) CSIRT CSAS Certified (since 10 Mar 2022) CSIRT JCEKB (CZ) Listed (since 08 Jul 2022) CSIRT Merit (CZ) Listed (since 31 Oct 2022) CSIRT OU Accredited (since 30 Aug 2021) CSIRT-EDERA.CZ Listed (since 17 Dec 2019) CSIRT-MU Certified (since 05 Dec 2016) CSIRT-NETX Listed (since 30 Apr 2022) CSIRT-SPCSS Listed (since 22 Oct 2021) CSIRT-VUT (CZ) Accredited (since 18 Sep 2022) CSIRT.CZ Certified (since 16 Nov 2018) CSOB-Group-CSIRT (CZ) Listed (since 02 Jun 2022) CSOC LKPR Listed (since 08 Nov 2020) CZ.NIC-CSIRT Accredited (since 26 Aug 2010) eCSIRT (CZ) EL AT CSIRT FORPSI-CSIRT(CZ) GOVCERT.CZ ha-vel CSIRT INTERNEXT CSIRT (CZ) ISPA CSIRT KAORA-CSIRT KBM CSIRT KERNUN CSIRT MASTER.CZ-CSIRT NCOC SOC NESTOR (CZ) NIX.CZ-CSIRT NN-GROUP CSIRT 02 cz CERT Quant-CSIRT(CZ) RBCZ-CSIRT (CZ) SEBET(CZ) SEZNAM.CZ-CSIRT SOC-Corpus SOC365 CSIRT SOCA TETANET-CZ-CERT (CZ) TMCZ CSIRT TPS-CSIRT TS CSIRT VSHOSTING-CSIRT WEB4U-CSIRT(CZ) WIA-CSIRT (CZ) Listed (since 17 Aug 2022) Listed (since 06 Jan 2022) Listed (since 19 Jul 2022) Accredited (since 21 Aug 2014) Listed (since 03 Oct 2022) Listed (since 15 Mar 2022) Listed (since 30 Apr 2022) Listed (since 14 Jul 2020) Listed (since 28 Jan 2021) Listed (since 28 Jan 2021) Listed (since 28 Jan 2021) Listed (since 31 Jan 2022) Accredited (since 31 Oct 2022) Listed (since 28 Jan 2021) Accredited (since 05 Nov 2020) Listed (since 28 Apr 2022) Listed (since 27 Oct 2022) Listed (since 06 Feb 2022) Listed (since 13 Jun 2022) Listed (since 18 Aug 2022) Accredited (since 24 Oct 2018) Accreditation Candidate (since 17 Aug 2022) Accredited (since 10 Feb 2017) Listed (since 22 May 2022) Accredited (since 16 Feb 2021) Listed (since 30 Apr 2020) Accredited (since 28 Feb 2020) Listed (since 28 Aug 2020) Listed (since 17 Jun 2022) Listed (since 03 Oct 2022) CSIRTs in the Czech Republic 2008 I 1 0 10 20 30 40 50 CERT komunita v ČR: aktuální stav TOP úroveň: Národní CSIRT.CZ / vládni GovCERT.CZ o Vysoký počet o Důvody: o Dlouhodobá podpora a osvěta komunity ve vytváření CERT/CSIRT (např. semináře a kurzy CZ.NIC akademie) Pomoc a podpora zejména u constituency GovCERT.CZ Projekt Fénix (NIX.CZ, smyslem projektu je umožnit v případě DoS útoku dostupnost internetových služeb v rámci subjektů zapojených do této aktivity.) ▼♦t FÉNIX cz.nic AKADEMIE G O VI« A FENIX PROČ VSTOUPIT PODMÍNKY PRO VSTUP Stanete se součástí týmu, jehož členové určují trendy v oblasti síťové bezpečnosti Ukážete, že vám bezpečnost vašich zákazníků není lhostejná Zapojíte se do unikátního projektu, který oceňuje odborná část internetové komunity ( ORGANIZAČNÍ ■ Aktivní účast na pracovních skupinách/hlasování v ■ 24/7 dohledové středisko - CERT/CSIRTtýms patřičným statusem procesů pro řešení incidentů ■ A další (dokument v PDF) TECHNICKÉ Plně redundantní přípojky do nejméně dvou uzlů NIX.CZ Síť využívá protokolů IPv4 a IPv6 Domény podepsané pomocí technologie DNSSEC Zapojení do systému RTBH filteringu Využívá Routě Serveru provozovaného v rámci projektu FENIX A další (dokument v PDF) • g * DOPORUČENÍ Získání doporučení od dvou stávajících členů Předložení prohlášení o splnění všech technických a organizačních podmínek A další (dokument v PDF) Co se sdílí v komunitě? o Indikátory kompromitace (loCs): virové signatury, škodlivé IP adresy, malware soubory, URL, doménové jména o Kontextové informace např. o malware kampaních, informace o modu operandi útočníků, o Případové studie a reporty o incidentech, o Varování o možných či potenciálních obětech útoku, Dešifrovací klíče u ransomware útoků, o Detaily zájmových účtů na sociálních sítích a další MISP Threat Sharing Home Event Actio Global Actions w Sync Actions ▼ Administration »■ Audit » Dis Admin 9 Log out Add Event Import From MISP Export Ust Attributes Search Attributes View Proposals Events with proposals Export Automation Q My Org Published Org Owner Org Id Tags Filter Date Threat Level Analysis Info Distribution Actions ČUDESO ORGNAME 93 tlpiwhite 16 admin@admin.test 2016-03-23 Medium Completed SAW SAM: THE All ill DOCTOR WILL SEE YOU, AFTER HE PAYS THE RANSOM ✓ ČUDESO ORGNAME 91 tlpwhite 3 admin@admin.test 2016-03-07 Low Completed Ad Serving Platform Ml via Used By PUA Also Delivers Magnitude Exploit Kit ✓ ČUDESO ORGNAME 92 llp:while 1 3 admin@admin.test 2016-03-25 Low Completed PETYA Crypto- Ml aria ransomware Overwrites MBR to Lock Users Out of Their Computers K CIRCL ORGNAME 5 tip white TypeiOSINT 84 admin@admin.test 2016-02-13 Medium Completed OSINT - Tuna - Ml ABS B Harnessing SSL Certilicates Using Infrastructure Chaining X C1HCL ORGNAME 43 tip white Type:OSINT 70 admin@admin.test 2016-03-21 Low Completed OSINT - STOP All i b t n SCANNING MY MACRO ✓ CIRCL ORGNAME 10 llptwhile) 847 admin@admin.test 2016-03-17 Low Initial Potential SpamBols Ml b t n drcl:incldent-classrfication=" system-compromise" (2016-03-17) •ŕ CIRCL ORGNAME 44 ci ret: Ind dent-classifications" matware" ?93 admin@admin.test 2016-03-17 Low Initial Malspam (2016-03-17)-Dridex (122), Locky All eil tlpiwhite ✓ CIRCL ORGNAME 16 tlpiwhlte 1 92 admin@admin.test 2016-03-16 Low Completed OSINT - AceDeceiver: Ml via First iOS Trojan Exploiting Apple DRM Design Flaws to Infect Any iOS Device V CUDESC ORGNAME 71 tlpiwhile 25 admin@admin.test 2016-03-11 Low Completed PowerSnift Malware All Bin Used in Macro-based Attacks ✓ CIRCL ORGNAME 25 malware classi(lcation:malware-category=" Hansom ware" 32 admin@admin.test 2016-03-16 Low Initial Locky (2016-03-16) Ml b tu MISP (3492) lOCs related to Mirai attacks o... MISP (3496) New Mirai scanning port 7547 ■ calhost.host / ~&c6ea2abfdb036d992557 i-^ (3491) New Mirai attack vector - bot.. !J|43dd3567dd026b1d 1fce697993690d41f7 c59' 3466 r^B MISP (3522) Mirai update 02/12 acal Sm^^mamsmOfmiSmmo (356g) qsINT - Now Mirai Has DGA Featu. mflfil Mirai .10/11 Stát vs. CERT/kybernetická bezpečnost o V posledních několika letech téma kybernetické bezpečnosti katapultováno z uzavřeného prostředí technických expertů až na politické výsluní o Virus Stuxnet / nárůst kyberkriminality/ kyberšpionážní kampaně / Estonsko 2007 / 11. září 2001 -> Politizace / sekuritizace tématu Stát vs. CERT/kybernetická bezpečnost o Rozšíření ve dvou směrech: o Vertikálním: od expertní úrovně k úrovni politické o Horizontálním: z USA a dalších pár vyspělých evropských zemí do téměř všech ostatních států světa o Trend: řešit kybernetickou bezpečnosti skrze strategicko-vojenskou optiku (aktivní protiopatření, kybernetická obrana, kybernetické zastrašovaní, ...) Vybrané výzvy: CERT jako policy aktér o Povaha CERT komunity akademická vs. fungování státního aparátu o Národní/vládní CERT musí nacházet ideální rovnováhu mezi fungováním v rámci CERT komunity a plněním politických cílů a povinností o Národní/vládní CERT mají specifickou „netechnickou" agendu o Nové výzvy.... Vybrané výzvy: Sdílení informací a vzájemná důvěra o Otázka odpovědnosti / poškození reputace / důvěry constituency o Vnitrostátní právní předpisy (např. zákony o datové lokalizaci) Čína, Vietnam, Írán, Rusko X Austrálie, Kanada o Různé důvody/politické cíle: o od zajištění ochrany osobních údajů svých občanů o až k ochraně státní suverenity či podpoře růstu domácí digitální ekonomiky o Vybrané výzvy: Komercionalizace kybernetické bezpečnosti Komodifikace a kumulace zranitelností (zero-days vulnerabilities) Zdroj financí např. pro soukromé firmy (nákup/vyhledávání) o Podporuje konkurenční prostředí (paradoxně nenavyšuje kyberbezp.) o Případ NSA / státem kupované zranitelnosti? Negativně působí na spolupráci v ČERT komunitě adobe reader mac osx android $30,000-$60,000 chrome or internet explorer flash or java browser plug-ins microsoft word windows firefox or safari ios Vybrané výzvy: Rostoucí CERT komunita / politizace kybernetické bezpečnosti Status národní/vládní CERT sebou nese mnoho zodpovědnosti, ale také benefitů (zejména lepší přístup k finančním prostředkům, citlivým informacím, ...) Resorty/instituce mohou usilovat o převzetí agendy / vstup aktérů, kteří nejsou a nemají být součástí CERT komunity o Volby mohou mít zásadní vliv na směřování a rozvoj CERT -> hrozba rozkladu celého konceptu kybernetické bezpečnosti v zemi během pár dní o CERT obětí politického boje - negativně působí na bezpečnostní situaci nejen na národní, ale i na mezinárodní úrovni Vybrané výzvy: Rostoucí CERT komunita / politizace kybernetické bezpečnosti Russian ŕ ^% GOV (CERT o Rozdílné vnímání kybernetické bezpečnosti a kybernetických hrozeb \ j GOV-CERT.RU is tasked with information security and making "recommendations on how to neutralize relevant information security threats/' which include the use of information and communications technology to interfere "with the internal affairs of the sovereign state, [and] violation of public order," Může vést k porušování lidských práv, svobody slova, apod. -> ostatní CERT se mohou vyhýbat sdílení informací, spolupráci Vybrané výzvy: Kyberprostor jako nová operační (vojenská) doména o Aktivnější role státu v kyberprostoru / používání aktivníc prostředků a nástrojů: Zajišťování kybernetické obrany v reálném čase (schopnost reagovat efektivně a dostatečně rychle) o Schopnost aktivní identifikace a rekognoskace nepřítele v kyberprostoru (spočívá v lokálním i vzdáleném shromažďování informací, tj. zisk logů či dat ze síťového provozu; OSINT; monitoring zranitelností, aj.) Schopnost provádět odvetné (tzv. hacking back) i preemptivní kybernetické útoky (např. nasazení malware, modifikace síťového provozu, provádění DoS/DDoS útoků proti útočníkovi, apod.) Nedotýká se přímo CERT, ale má vliv na efektivitu jeho práci / sdílení informací, důvěru, apod. = jaká role v KO? o ROLE STÁTU V ZAJIŠŤOVÁNÍ KYBERNETICKÉ BEZPEČNOSTI Národní CERT vs. zpravodajské služby a policie Neintencionální kybernetické bezpečnostní incidenty, např. lidská selhání, špatná technická konfigurace Intencionálni kybernetické bezpečnostní incidentu nízké závažnosti, napr. komoditní malware, DDoS útoky nízké intenzity Cybernetická kriminalita, resp. intencionálni kybernetické bezpečnostní incidenty naplňující skutkovou podstatu trestného činu Zpravodajské služby Intencionálni kybernetické bezpečnostní incidenty vysoké závažnosti, napr. útoky státních a nestátních aktérů (teroristé), útoky na Kil Zločiny využívající ICT, tedy jakékoliv zločiny, ve kterém jsou zahrnuty elektronické/digitální důkazy, např. z PC nebo mobilních telefonů Národní CERT vs. zpravodajské služby a policie Společný cíl: zabezpečení kyberprostoru Rozdílný mandát / úroveň expertízy o Národní/vládni CERT: hlavní priorita - ochrana KS/infrastruktury před zranitelnostmi/útoky o LE/IA: hlavní priorita - redukovat počet hrozeb/fokus na aktéry; vnímání kybernetické bezpečnosti jako záležitost fyzické a národní bezpečnosti Národní CERT vs. zpravodajské služby a policie Národní/vládní CERT - obnova systému, odstranění zranitelností/snižování rizik Ochrana své constituency je esenciálním úkolem CERT/CSIRT o LE - sběr důkazů, přisouzení útoků a stíhání zločinců IA- přisouzení útoků, sběr/analýza infa ohledně národní bezpečnosti (vojenská, zahraniční politika) o Řešení incidentu vs. využití incidentu A Národní CERT vs. zpravodajské služby a polície o Výhody spolupráce: o Efektivnější řešení a koordinace incidentů o Kontextualizace kybernetických útoků / incidentů o Odstrašení nepřátel / útočníků Rom \\ Paľka CSIRT: v přední linii boje proti kybernetickým hrozbám FILE ino»l*qi char scanbuf t Sit! J . Char I -•' i ■ • ( • I chir *fyd_hosti Our qu tb'j' CJSLJ ■• itruct pasiud ipusnt; char localCSOli struct uir *ustr", Struct htt *ftO»ti H iOlfi */ int ch«ck_oth«r_cnt\ /* static struct uir »usar_list 1 hull . hpsteq = fDPBn(XS:"Vi»tc/hostsoquiv*J, IJCr'lli If (hO*t*q 1" NULL! < /■ 212 ■/ uhila Ificanf(hostsq. XS<"*.VQDs"). icinbufl) -C host = h_n*»»aho»tdi&CD1 □) /■ 1£« ■/ continue* DĚKUJI ZA POZORNOST www nukib.cz \\i/y govcert.cz (DGOVCERT CZ facebook.com/NUKIB.CZ PhDr. Roman Páčka 333252@mail.muni.cz r.packa@nukib.cz