Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Transcript of Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Seminář o bezpečnosti sítí a služeb
&
Sběr a zpracování dat z bezpečnostních nástrojů
Pavel Ká[email protected]
9. 2. 2016 Warden & Mentat
Zdroje dat
- HW accelerated probes- large scale (backbone-wide) flow based monitoring (NetFlow data sources)- Honey Pots- IDS, IPS, tar pit based systems, etc.. - SNMP based monitoring
9. 2. 2016 Warden & Mentat
Začátky
● Neuspořádaná sbírka nekooperujících nástrojů● Řadu z nich provozují sami správci
(a získávají z nich data jen pro sebe – ostatní zahazují)● Dat je hodně, je třeba s nimi pracovat● Lidské – mailové reportování neškáluje
● Brilantní nápad: Sdílet!
– Méně brilantní detaily:Jak? Formát? Obsah? Protokol? Klasifikace? Politika?
9. 2. 2016 Warden & Mentat
Warden● Efektivní automatizované sdílení
– Transportní fronta (nikoliv skladiště)● Komunitní přístup
– Tvá data jsou dostupná Warden komunitě– Data celé komunity jsou dostupná Tobě
● BSD licence, https://wardenw.cesnet.cz
9. 2. 2016 Warden & Mentat
Formát – IDEA
● JSON● Jednoduchý, rozšiřitelný formát● Jednou definované klíče a typy se ale nemění● Dokážeme rozlišit primární data, agregovaná data, korelovaná data● Definice: https://idea.cesnet.cz
9. 2. 2016 Warden & Mentat
CESNET-CERTS
● Řešení a koordinace incidentů v síti CESNET2– Jednotný a důvěryhodný kontaktní bod– https://csirt.cesnet.cz, [email protected]
● Jako bezpečnostní tým je používáme k– ověření,– doplnění informací,– odhadu rozsahu
útoku.
● Za pomoci systému Mentat
9. 2. 2016 Warden & Mentat
Mentat● SIEM● Úložiště událostí
(pro Warden jen další odebírající klient)● https://mentat.cesnet.cz
9. 2. 2016 Warden & Mentat
Komunita
● Poučení první: Nejsou lidi– tj. připojené organizace se nezvládnou
technicky zapojit a data odebrat a zpracovat
● Ale mají o ně zájem...– Je třeba data správcům doručit
jednodušeji a předzpracovaná
● Učíme Mentat reportovat:– rozdělit data podle příslušnosti,– vytvořit reporty,– a rozeslat do koncových sítí.
9. 2. 2016 Warden & Mentat
Kvalita dat
● Reakce příjemců:– Nedostatečné informace o incidentech– Zahlcení množstvím/opakováním (někdy i po vyřešení)– Nejasná závažnost incidentu (často závislá na lokální situaci)– Problematická data třetích stran
● Dat je stále mnoho a jsou heterogenní– Mají různou kvalitu,– a různou vypovídací hodnotu
● Poučení druhé: Nestačí je jen přebalit a rozeslat
9. 2. 2016 Warden & Mentat
Mentat – Reporter NG ● Učíme Mentat
– Inteligentně zamlčovat opakování– Poskytovat v reportech víc informací– Ve spolupráci se správci zavádíme závažnost incidentu
● Přidáváme do Mentatu rozhraní pro správce– Možnost nastavení opakování a omezení odebírání určitých událostí– Detaily, dashboardy, statistiky
9. 2. 2016 Warden & Mentat
Pro srovnání
Flow data– Páteřní prvky (24)– Připojené sítě (50)
~200+ TB dat(TTL >= 2-3 měsíce)~100 000 flow/s
Událost
~30 GB dat(TTL 30 dní)~1,1 mil denně
Reporty(Na ~320 institucí)
~60 denně
9. 2. 2016 Warden & Mentat
Poučení třet
● Nestačí
– Sdílet pouze primární data – příliš mnoho, pro stromy nevidíme les
– Sdílet jen na úrovni jedné sítě – o řadě problémů se nedozvíme
– Sdílet jen data pro cílovou síť – chybí souvislosti, vidíme les, ale ne krajinu
9. 2. 2016 Warden & Mentat
Současný tým
● Andrea Kropáčová● Pavel Kácha
● Warden– Michal Kostěnec– Daniel Studený– Tomáš Plesník– Jakub Čegan
● Mentat– Jan Mach– Radomír Orkáč– Pavel Vachek