1 / 16

SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen

SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen. PTS. PTS är en myndighet under Näringsdepartementet PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor. Sitics uppdrag.

fola
Download Presentation

SITIC Sveriges IT-incidentcentrum - Dragning för LIU och Dataföreningen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SITIC • Sveriges IT-incidentcentrum • - Dragning för LIU och Dataföreningen

  2. PTS • PTS är en myndighet under Näringsdepartementet • PTS är sektorsmyndighet för säkerhet i elektroniska kommunikationer • Inom PTS är det Avdelningen för nätsäkerhet som ansvarar för dessa frågor

  3. Sitics uppdrag • Inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och funktionen • Snabbt kunna sprida information i samhället om nya problem som kan störa IT-system • Lämna information och råd om förebyggande åtgärder • Sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet.

  4. Förebyggande Råd Särskilda Råd Blixtmeddelanden Meddelanden om attackerade sajter Sårbarhetskungörelser Statistik (Honeynet, LISA) Seminarier Riskanalysmetod Handräckning (Phishing, Botnets) Leverabler

  5. Andra rådgivande dokument

  6. Introduction to the honeypot concept Einar Oftedal, The Norwegian Honeynet Project MWCollect/Nepenthes, software for honeypots Thorsten Holz, The German Honeynet Project Live demo: the SURFNet IDS Solution Rogier Spoor, SURFNet Reverse engineering of a bot Thorsten Holz, The German Honeynet Project Malware striptease Jesper Svensson, Försvarets radioanstalt Demo av forensiskt sunda metoder och procedurer för att detektera intrång Pär Österberg, Sitic The Norwegian Honeynet Project and the international Honeynet Research Alliance * Einar Oftedal, The Norwegian Honeynet Project Vårseminariet 2006

  7. Öppna källor Abonnerade Källor Övriga källor Scout • Omvärldsanalys • En schemalagd ansvarig för OA (alla deltar) • Listning på intern mail (Daily) • Klassificeringsverktyget (10 variabler viktas) • - Är potentiell verkansgrad hög? • - Är sårbarheten lätt att utnyttja? • Är produkten spridd i målgruppen? • Konsensusbeslut i korridoren Labb • Produktion • Daily (första filtrering) • Blixtmeddelande • Särskilt Råd Omvärldsanalys Sårbarheter Embargo

  8. Samverkan med andra CERT:ar • TeliaSoneraCERT, SunetCERT • Nordiskt CSIRT-Forum (NCF) • European Government CSIRT – Group (EGC) • GovCertUK (UK) • GOVCERT.NL (NL) • CERT-FI (FI) • CERT-BUND (D) • CERTA (F) • NorCERT (NO) • SWITCH-CERT (CH) • FIRST, TF-CSIRT • International Watch & Warning Network (IWWN)

  9. Honeypotnätverket • Honeypot (HP) är ett verktyg som detekterar och registrerar skadlig kod och intrångsförsök i syfte att möjliggöra vidareanalys av dessa företeelser. • Syftet med HP-nätverket är att deltagarna ska kunna detektera och registrera skadlig kod och intrångsförsök mot det egna systemet, kunna göra jämförelser med andra deltagare i HP-nätverket samt få kunskap om mönster och trender avseende dessa företeelser. • Denna kunskap ska stödja det förebyggande säkerhetsarbetet samt öka samhällets förståelse för IT-säkerhetshot.

  10. Honeypotnätverket II • Teknikmiljön baseras på Nepenthes som är utvecklad med öppen källkod vilken deltagarna kommer att ha tillgång till. • Sitic utvecklar tekniken och förvaltar HP-nätverket. I databaser lokaliserade till Sitic lagras data som inhämtas genom deltagarnas sensorer. • Deltagarna bereds tillgång till data från egen sensor samt tillgång till anonymiserad data från andra deltagares sensorer i HP-nätverket genom inloggning på Sitics webbport. • Deltagarna tilldelas sensorprogramvara kostnadsfritt från Sitic. Programvaran är lagrad på USB-minne och monteras på hårdvara som deltagaren själv tillhandahåller.

  11. Honeypotnätverket III • Sitic avser att bilda ett forum med HP-nätverkets deltagare för erfarenhetsutbyte inom området intrångsdetekteringsteknik och kodanalys. • Programvaran vidareutvecklas kontinuerligt och kommer att inkludera exempelvis ARGOS och SNORT

  12. LISA • Logginsamling och sammanställning • Webserverloggar • 4xx och 5xx felmeddelanden • Statistik • “Early Warning” och anomalier • Deltagarna kan jämföra sin data med • Aggregerad bild • Deltagare från samma sektor

  13. LISA II Ge oss era fel... • 192.168.1.100 - - [18/Dec/2001:05:11:04 +0000] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 3147 • IP-nummer • Tidsstämpel • Förfrågan • HTTP-statuskod (4xx, 5xx) • User-agent LISA www

  14. ...och vi ger er: LISA III Anrop som genererat 400- eller 500-fel • Andel som % av total • Antal sett över tiden (dygnet, veckan, …) • Geografiskt ursprung • Vanligaste förekommande förfrågningar (GET /../.. ) • Vanligaste User-agent Jämför med • Sektor • Region • Alla Publik www AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp Privat www Login AntalTyp 3197 MS-SQL version overflow attempt 2448 ICMP PING CyberKit 2.2 Windows 105 4ICMP PING NMAP 99 WEB-MISC robots.txt access63SNMP public access udp

  15. Kommande • Fler sensorsystem • Fler sökbara databaser • Mer operativ handräckning

More Related