Ladda ner presentationen
Presentation laddar. Vänta.
Publicerades avIda Fredriksson
1
SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen
2
PTS PTS är en myndighet under Näringsdepartementet PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor
3
Sitics uppdrag Inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och funktionen Snabbt kunna sprida information i samhället om nya problem som kan störa IT-system Lämna information och råd om förebyggande åtgärder Sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet.
4
Leverabler Förebyggande Råd Särskilda Råd Blixtmeddelanden Meddelanden om attackerade sajter Sårbarhetskungörelser Statistik (Honeynet, LISA) Seminarier Riskanalysmetod Handräckning (Phishing, Botnets)
5
Andra rådgivande dokument
6
Vårseminariet 2006 Introduction to the honeypot concept Einar Oftedal, The Norwegian Honeynet Project MWCollect/Nepenthes, software for honeypots Thorsten Holz, The German Honeynet Project Live demo: the SURFNet IDS Solution Rogier Spoor, SURFNet Reverse engineering of a bot Thorsten Holz, The German Honeynet Project Malware striptease Jesper Svensson, Försvarets radioanstalt Demo av forensiskt sunda metoder och procedurer för att detektera intrång Pär Österberg, Sitic The Norwegian Honeynet Project and the international Honeynet Research Alliance * Einar Oftedal, The Norwegian Honeynet Project
7
Öppna källor Abonnerade Källor Övriga källor Scout Omvärldsanalys En schemalagd ansvarig för OA (alla deltar) Listning på intern mail (Daily) Klassificeringsverktyget (10 variabler viktas) - Är potentiell verkansgrad hög? - Är sårbarheten lätt att utnyttja? - Är produkten spridd i målgruppen? Konsensusbeslut i korridoren Produktion Daily (första filtrering) Blixtmeddelande Särskilt Råd Labb Omvärldsanalys Sårbarheter Embargo
8
Samverkan med andra CERT:ar TeliaSoneraCERT, SunetCERT Nordiskt CSIRT-Forum (NCF) European Government CSIRT – Group (EGC) GovCertUK (UK) GOVCERT.NL (NL) CERT-FI (FI) CERT-BUND (D) CERTA (F) NorCERT (NO) SWITCH-CERT (CH) FIRST, TF-CSIRT International Watch & Warning Network (IWWN)
10
Honeypotnätverket Honeypot (HP) är ett verktyg som detekterar och registrerar skadlig kod och intrångsförsök i syfte att möjliggöra vidareanalys av dessa företeelser. Syftet med HP-nätverket är att deltagarna ska kunna detektera och registrera skadlig kod och intrångsförsök mot det egna systemet, kunna göra jämförelser med andra deltagare i HP- nätverket samt få kunskap om mönster och trender avseende dessa företeelser. Denna kunskap ska stödja det förebyggande säkerhetsarbetet samt öka samhällets förståelse för IT-säkerhetshot.
11
Honeypotnätverket II Teknikmiljön baseras på Nepenthes som är utvecklad med öppen källkod vilken deltagarna kommer att ha tillgång till. Sitic utvecklar tekniken och förvaltar HP-nätverket. I databaser lokaliserade till Sitic lagras data som inhämtas genom deltagarnas sensorer. Deltagarna bereds tillgång till data från egen sensor samt tillgång till anonymiserad data från andra deltagares sensorer i HP- nätverket genom inloggning på Sitics webbport. Deltagarna tilldelas sensorprogramvara kostnadsfritt från Sitic. Programvaran är lagrad på USB-minne och monteras på hårdvara som deltagaren själv tillhandahåller.
12
Honeypotnätverket III Sitic avser att bilda ett forum med HP-nätverkets deltagare för erfarenhetsutbyte inom området intrångsdetekteringsteknik och kodanalys. Programvaran vidareutvecklas kontinuerligt och kommer att inkludera exempelvis ARGOS och SNORT
13
LISA Logginsamling och sammanställning Webserverloggar 4xx och 5xx felmeddelanden Statistik “Early Warning” och anomalier Deltagarna kan jämföra sin data med Aggregerad bild Deltagare från samma sektor
14
Ge oss era fel... 192.168.1.100 - - [18/Dec/2001:05:11:04 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3147 IP-nummer Tidsstämpel Förfrågan HTTP-statuskod (4xx, 5xx) User-agent LISA www LISA II
15
Anrop som genererat 400- eller 500-fel Andel som % av total Antal sett över tiden (dygnet, veckan, …) Geografiskt ursprung Vanligaste förekommande förfrågningar (GET /../.. ) Vanligaste User-agent Jämför med Sektor Region Alla Publik www Privat www AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp Login LISA III...och vi ger er:
16
Kommande Fler sensorsystem Fler sökbara databaser Mer operativ handräckning
Liknande presentationer
© 2024 SlidePlayer.se Inc.
All rights reserved.