SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen

PTS  PTS är en myndighet under Näringsdepartementet  PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer  Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor

Sitics uppdrag  Inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och funktionen  Snabbt kunna sprida information i samhället om nya problem som kan störa IT-system  Lämna information och råd om förebyggande åtgärder  Sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet.

Leverabler  Förebyggande Råd  Särskilda Råd  Blixtmeddelanden  Meddelanden om attackerade sajter  Sårbarhetskungörelser  Statistik (Honeynet, LISA)  Seminarier  Riskanalysmetod  Handräckning (Phishing, Botnets)

Andra rådgivande dokument

Vårseminariet 2006 Introduction to the honeypot concept Einar Oftedal, The Norwegian Honeynet Project MWCollect/Nepenthes, software for honeypots Thorsten Holz, The German Honeynet Project Live demo: the SURFNet IDS Solution Rogier Spoor, SURFNet Reverse engineering of a bot Thorsten Holz, The German Honeynet Project Malware striptease Jesper Svensson, Försvarets radioanstalt Demo av forensiskt sunda metoder och procedurer för att detektera intrång Pär Österberg, Sitic The Norwegian Honeynet Project and the international Honeynet Research Alliance * Einar Oftedal, The Norwegian Honeynet Project

Öppna källor Abonnerade Källor Övriga källor Scout Omvärldsanalys En schemalagd ansvarig för OA (alla deltar)  Listning på intern mail (Daily)  Klassificeringsverktyget (10 variabler viktas) - Är potentiell verkansgrad hög? - Är sårbarheten lätt att utnyttja? - Är produkten spridd i målgruppen? Konsensusbeslut i korridoren Produktion Daily (första filtrering) Blixtmeddelande  Särskilt Råd Labb Omvärldsanalys Sårbarheter Embargo

Samverkan med andra CERT:ar  TeliaSoneraCERT, SunetCERT  Nordiskt CSIRT-Forum (NCF)  European Government CSIRT – Group (EGC)  GovCertUK (UK)  GOVCERT.NL (NL)  CERT-FI (FI)  CERT-BUND (D)  CERTA (F)  NorCERT (NO)  SWITCH-CERT (CH)  FIRST, TF-CSIRT  International Watch & Warning Network (IWWN)

Honeypotnätverket  Honeypot (HP) är ett verktyg som detekterar och registrerar skadlig kod och intrångsförsök i syfte att möjliggöra vidareanalys av dessa företeelser.  Syftet med HP-nätverket är att deltagarna ska kunna detektera och registrera skadlig kod och intrångsförsök mot det egna systemet, kunna göra jämförelser med andra deltagare i HP- nätverket samt få kunskap om mönster och trender avseende dessa företeelser.  Denna kunskap ska stödja det förebyggande säkerhetsarbetet samt öka samhällets förståelse för IT-säkerhetshot.

Honeypotnätverket II  Teknikmiljön baseras på Nepenthes som är utvecklad med öppen källkod vilken deltagarna kommer att ha tillgång till.  Sitic utvecklar tekniken och förvaltar HP-nätverket. I databaser lokaliserade till Sitic lagras data som inhämtas genom deltagarnas sensorer.  Deltagarna bereds tillgång till data från egen sensor samt tillgång till anonymiserad data från andra deltagares sensorer i HP- nätverket genom inloggning på Sitics webbport.  Deltagarna tilldelas sensorprogramvara kostnadsfritt från Sitic. Programvaran är lagrad på USB-minne och monteras på hårdvara som deltagaren själv tillhandahåller.

Honeypotnätverket III  Sitic avser att bilda ett forum med HP-nätverkets deltagare för erfarenhetsutbyte inom området intrångsdetekteringsteknik och kodanalys.  Programvaran vidareutvecklas kontinuerligt och kommer att inkludera exempelvis ARGOS och SNORT

LISA  Logginsamling och sammanställning  Webserverloggar  4xx och 5xx felmeddelanden  Statistik  “Early Warning” och anomalier  Deltagarna kan jämföra sin data med  Aggregerad bild  Deltagare från samma sektor

Ge oss era fel [18/Dec/2001:05:11: ] "GET /MSADC/root.exe?/c+dir HTTP/1.0"  IP-nummer  Tidsstämpel  Förfrågan  HTTP-statuskod (4xx, 5xx)  User-agent LISA www LISA II

Anrop som genererat 400- eller 500-fel  Andel som % av total  Antal sett över tiden (dygnet, veckan, …)  Geografiskt ursprung  Vanligaste förekommande förfrågningar (GET /../.. )  Vanligaste User-agent Jämför med  Sektor  Region  Alla Publik www Privat www AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp Login LISA III...och vi ger er:

Kommande  Fler sensorsystem  Fler sökbara databaser  Mer operativ handräckning