Реагирование на инциденты кибербезопасности
description
Transcript of Реагирование на инциденты кибербезопасности
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Вопросы к обсуждению
Угрозы в Интернете
Центры реагирования
Некоторые методы борьбы
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Отчет по безопасности Cisco за 2009 г.
Социальные сети
Риски при работе в Интернете
Монетизация киберпреступлений
Указатель ресурсов киберпреступности
Номинации "образцово-показательные киберпреступления"
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Матрица : доход на капитал, вложенный в киберпреступление
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
"Изделие года" в области киберпреступности
"Антивирус XP нашел 2794 угрозы. Рекомендуется их устранить. Продолжить?"
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Bakasoftware управляет криминальной сетью
Партнеры Bakasoftware по продаже "шпионского” ПО для “устрашения”
Партнеры загружают "ПО-устрашитель" в ботсети
Партнеры выплачивают Bakasoftware комиссионные за покупки клиентов
Доход партнера № 2 за 10 дней – 147 тыс. долларов, за год – 5 млн.
154 825 установок, 2772 покупки
Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2
Панель Bakasoftware с доходами за 10 дней ДФ № 2
День 10 День 10
День 1 День 1 День 2 День 2 День 3 День 3 День 4 День 4 День 5 День 5 День 6 День 6 День 7 День 7 День 8 День 8 День 9 День 9
Итого Итого
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Вопросы к обсуждению
Угрозы в Интернете
Центры реагирования
Некоторые методы борьбы
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Computer Emergency Response Teams – Основные факты
Причина появления: The Internet Worm, 1988
Создание CERT-CC (координационной центр)
Carnegie Mellon University
http://www.cert.org/
Возможные названия: IRT (Incident Response Team)
CSIRT (Computer security incident response team)
… и другие варианты
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Координационные центры
FIRST:
Forum of Incident Response Teams
http://www.first.org
TF-CSIRT:
Европейский координационный центр
http://www.terena.org/activities/tf-csirt/
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Европейские CERT-ы (Май 2010)https://www.trusted-introducer.org/teams/country_LICSA.html
*Europe•Cisco PSIRT •EGEE OSCT •ESACERT (*Europe) •IBM ERS •SunCERT *World Wide•NCIRC CC Austria•ACOnet-CERT •CERT.at •R-IT CERT Azerbaijan•CERT AzEduNET Belgium•BELNET CERT (Belgium)•CERT.be (Belgium) Bulgaria•CERT Bulgaria (Bulgaria)Croatia•CARNet-CERT (Croatia) •CERT ZSIS •HR-CERT (Croatia) Cyprus•CYPRUS Czech Republic•CESNET-CERTS (Czech Republic) •CSIRT-MU •CSIRT.CZ •CZNIC-CSIRT Denmark•CSIRT.DK •DK-CERT (Denmark)•KMD IAC (Denmark)
Estonia•CERT-EE (Estonia)•SKY-CERT Finland•CERT-FI (Finland)•Ericsson PSIRT (Finland)•Funet CERT (Finland)•Nokia NIRT France•APOGEE SecWatch •Cert-IST (France)•CERT-LEXSI (France)•CERT-Renater (France)•CERT-Societe Generale •CERTA (France)•CSIRT BNP Paribas Georgia•CERT-GE Germany•CERT-BUND •CERT-VW (Germany) •CERTBw •CERTCOM •ComCERT •dCERT (Germany) •DFN-CERT (Germany)•GNS-CERT •KIT-CERT (Germany)•PRE-CERT (Germany)•RUS-CERT (Germany)•S-CERT (Germany)•SAP CERT •secu-CERT •Siemens CERT (Germany)•T-Com-CERT •Telekom-CERT (Germany) Greece•AUTH-CERT •FORTH CERT (Greece)•GRNET-CERT
Hungary•CERT-Hungary (Hungary)•HUN-CERT •NIIF-CSIRT Iceland•RHnet CERT Ireland•HEANET-CERT •IRISS CERT (Ireland)•Jumper CSIRT (Ireland)•POPCAP-CSIRT Israel•ILAN CERT Italy•CERT-IT •GARR-CERT (Italy)Latvia•CERT NIC.LV (Latvia)•DDIRV (Latvia)Lithuania•CERT-LT (Lithuania)•IST-SVDPT (Lithuania)•LITNET CERT (Lithuania)Luxembourg•CIRCL •RESTENA-CSIRT (Luxembourg)Malta•mtCERT (Malta)Netherlands•AMC-CERT •CERT-IDC•CERT-KUN •CERT-RUG (Netherlands)•CERT-UU •Edutel-CSIRT •GOVCERT.NL (Netherlands)•ING Global CIRT •KPN-CERT (Netherlands)•SURFcert (Netherlands)•UvA-CERT
Norway•NorCERT (Norway) •NORDUnet CERT (Norway) •UiO-CERT (Norway) •UNINETT CERT (Norway) Poland•CERT POLSKA (Poland)•PIONIER-CERT •TP CERT Portugal•CERT-IPN •CERT.PT (Portugal)•CSIRT.FEUP (Portugal)Romania•RoCSIRT (Romania)Russian Federation•RU-CERT (Russian Federation) •WebPlus ISP Slovenia•SI-CERT (Slovenia)Spain•CCN-CERT (Spain) •CSIRTCV •esCERT-UPC (Spain)•INTECO-CERT (Spain) •IRIS-CERT (Spain) Sweden•SIST •SITIC (Sweden) •SUNet CERT (Sweden) •Swedbank SIRT (Sweden) •TS-CERT (Sweden) Switzerland•CC-SEC •CERN-CERT •IP+ CERT •OS-CIRT •SWITCH-CERT (Switzerland)
Turkey•TR-CERT (Turkey) •Ulak-CSIRT (Turkey) Ukraine•CERT-UA United Kingdom•BTCERTCC (United Kingdom) •Citigroup •CSIRTUK (United Kingdom) •DANCERT •DCSIRT (United Kingdom) •E-CERT •EUCS-IRT •GovCertUK •JANET CSIRT (United Kingdom) •MLCIRT •MODCERT •OxCERT •Q-CIRT •RBSG-ISIRT (United Kingdom)
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
CERT: Взаимодействие
Предприятие
Оператор 1
Оператор 2
mbehringNCIRC CC
CSIRT
CSIRT
CSIRT
Атака
Правоохрани-тельные органы
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
NSP-SEC
“The nsp-security [NSP-SEC] forum is a volunteer incident response mailing list, which coordinates the interaction between ISPs and NSPs in near real-time and tracks exploits and compromised systems as well as mitigates the effects of those exploits on ISP networks. The list has helped mitigate attacks and will continue to do so.”
http://puck.nether.net/mailman/listinfo/nsp-security
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Кто входит в NSP-SEC ?
Вы работаете в крупном операторе услуг Интернет, центре хостинга, транзитном операторе?
Включает ли в себя Ваша работа задачи по обеспечению сетевой безопасности?
Готовы ли Вы бесплатно помогать сообществу сетевых оперторов в мониторинге, сборе данных и их анализе?
Есть ли у Вас полномочия и технические возможности по расследованию и предотвращению инцидентов в вашей сети?
Есть ли у Вас время для участия в работе форума в реальном режиме времени?
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
iNOC DBA – Почему и как?
ПочемуОператоры должны взаимодействовать во время атаки, например – разговаривать :-)
Не так просто найти правильный контакт сразу. Инженер может просто не брать телефон.
Решение: Выделенная система телефонной связи
INOC-DBA: Inter-NOC Dial-by-ASN
КакГолосовая система на базе протокола SIP
Нумерация базируется на номерах автономных систем в ИнтернетAS-Number:Extension
www.pch.net/inoc-dba/
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Вопросы к обсуждению
Угрозы в Интернете
Центры реагирования
Некоторые методы борьбы
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Отслеживание: основные положения
Если префикс источника не фальшивый:Таблица маршрутизации
Реестр Интернет-маршрутизации (IRR)—whois
Непосредственный выход на сеть
Если префикс источника фальшивый: Отследите маршрут потока пакетов по сети
Найдите входящее соединение
Следующий оператор связи должен продолжать поиск
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Маршрутизаторы/сети – поглотителя
«Поглотители» (sinkhole) являются методом защиты на уровне топологии сети—аналогичны «приманкам» (honeypot)
Используется для отвода атакующих ударов от пользователя—перенаправляет удар на маршрутизатор, который способен выдержать атаку
Используется для мониторинга шумового трафика атаки, сканирования, посылки лже-трафика и другой активности (с анонимных либо несуществующих IP адресов)
Трафик обычно отводится с помощью маршрутных объявлений BGP и другими средствами
Программное обеспечение внутри контролируемого окружения
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Маршрутизаторы/сети – поглотителя
Цель атаки
192.168.20.1 Адрес-мишень
192.168.20.0/24—Сеть-мишень
Поглощающая сеть
пользователи
пользователи Пользователи
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
пользователи
Маршрутизаторы/сети – поглотителя
Цель атаки
192.168.20.1 адрес мишени
192.168.20.0/24—Сеть - мишень
Поглощающая сеть
пользователи
пользователь
Маршрутизатор объявляет
192.168.20.1/32
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Маршрутизаторы/сети – поглотителя
Атакующий удар отводится от пользователя / агрегирующего маршрутизатора
Теперь можно применить ACL-классификацию, захват пакетов и т.д.
Задачей является минимизация рисков для сети на время анализа обстоятельств атаки
Цель атаки
192.168.20.1 адрес мишени
192.168.20.0/24—Сеть-мишень
Поглощающая сеть
пользователи
пользователи
Маршрутизатор объявляет
192.168.20.1/32
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Маршрутизаторы/сети – поглотителя
Объявление адресного пространства (“space”) в поглощающей сети направит в неё весь поступающий «мусор» ( и гипотетически полезный) трафик:
Пользовательский трафик при зацикливании
Сканирования сети к несуществующим адресам
Вирусный трафик
Обратное распространение
Поместите в поглощающую сеть инструменты слежения для анализа шумового трафика
Поглощающая сеть
Пользователи
Пользователи
Маршрутизатор объявляет
“space”
ПользователиПользователи
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Что можно отследить в поглощающей сети?
Сканирование с незнакомых IP (распределенного и неиспользуемого адресного пространства)
Кто прощупывает сеть—предварительная разведка, «черви»…
Сканирование с bogons (нераспределенных адресов)
«Черви», зараженные машины Обратное распрстранение после атак
Кого атакуют Обратное распространение от шумового трафика
(«дыры» RFC-1918)Какие пользователи имеют проблемы в настройках или уязвимые сети
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Обнаружение «червя» и отчет
Оператор мгновенно получает уведомление о наличии «червя»
Система автоматически составляет список инфицированных серверов для отправки в карантин и лечения
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Зачем использовать поглотители?
Потому что они работают! Операторы связи, предприятия и исследователи используют их в своих сетях для сбора и анализа данных
При накоплении опыта и внедрении новых технологий находятся и другие применения
Правильное построение поглотителей требует тщательных подготовительных операций
© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. ‹#›
Вопросы и Ответы[email protected]