Реагирование на инциденты кибербезопасности
Download
1 / 26

???????????? ?? ????????? ????????????????? - PowerPoint PPT Presentation


  • 196 Views
  • Uploaded on

Реагирование на инциденты кибербезопасности. Михаил Кадер, mkader@cisco.com , security-request@cisco.com. Вопросы к обсуждению. Угрозы в Интернете Центры реагирования Некоторые методы борьбы. Отчет по безопасности Cisco за 2009 г. Социальные сети Риски при работе в Интернете

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about '???????????? ?? ????????? ?????????????????' - perdy


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
4797711

Реагирование на инциденты кибербезопасности

Михаил Кадер,

mkader@cisco.com, security-request@cisco.com


4797711
Вопросы к обсуждению кибербезопасности

Угрозы в Интернете

Центры реагирования

Некоторые методы борьбы


Cisco 2009
Отчет по безопасности Cisco за 2009 г. кибербезопасности

Социальные сети

Риски при работе в Интернете

Монетизация киберпреступлений

Указатель ресурсов киберпреступности

Номинации "образцово-показательные киберпреступления"


4797711
Матрица : доход на капитал, вложенный в киберпреступление


4797711
"Изделие года" в области киберпреступности

"Антивирус XP нашел 2794 угрозы. Рекомендуется их устранить. Продолжить?"


Bakasoftware

День 1 киберпреступности

День 2

День 3

День 4

День 5

День 6

День 7

День 8

День 9

День 10

Итого

Панель Bakasoftware с доходами за 10 дней ДФ № 2

Bakasoftware управляет криминальной сетью

  • Партнеры Bakasoftware по продаже "шпионского” ПО для “устрашения”

  • Партнеры загружают "ПО-устрашитель" в ботсети

  • Партнеры выплачивают Bakasoftware комиссионные за покупки клиентов

  • Доход партнера № 2 за 10 дней – 147 тыс. долларов, за год – 5 млн.

    154 825 установок, 2772 покупки

Источник: http://www.secureworks.com/research/threats/rogue-antivirus-part-2/?threat=rogue-antivirus-part-2


4797711
Вопросы к обсуждению киберпреступности

Угрозы в Интернете

Центры реагирования

Некоторые методы борьбы


Computer emergency response teams
Computer Emergency Response Teams – киберпреступностиОсновные факты

  • Причина появления: The Internet Worm, 1988

  • Создание CERT-CC (координационной центр)

    • Carnegie Mellon University

    • http://www.cert.org/

  • Возможные названия:

    • IRT (Incident Response Team)

    • CSIRT (Computer security incident response team)

    • … и другие варианты


4797711
Координационные центры киберпреступности

  • FIRST:

    Forum of Incident Response Teams

    http://www.first.org

  • TF-CSIRT:

    Европейский координационный центр

    http://www.terena.org/activities/tf-csirt/


Cert 20 10 https www trusted introducer org teams country licsa html
Европейские киберпреступности CERT-ы (Май 2010)https://www.trusted-introducer.org/teams/country_LICSA.html

  • *Europe

  • Cisco PSIRT

  • EGEE OSCT

  • ESACERT (*Europe)

  • IBM ERS

  • SunCERT

  • *World Wide

  • NCIRC CC

  • Austria

  • ACOnet-CERT

  • CERT.at

  • R-IT CERT

  • Azerbaijan

  • CERT AzEduNET

  • Belgium

  • BELNET CERT (Belgium)

  • CERT.be (Belgium)

  • Bulgaria

  • CERT Bulgaria (Bulgaria)

  • Croatia

  • CARNet-CERT (Croatia)

  • CERT ZSIS

  • HR-CERT (Croatia)

  • Cyprus

  • CYPRUS

  • Czech Republic

  • CESNET-CERTS (Czech Republic)

  • CSIRT-MU

  • CSIRT.CZ

  • CZNIC-CSIRT

  • Denmark

  • CSIRT.DK

  • DK-CERT (Denmark)

  • KMD IAC (Denmark)

  • Hungary

  • CERT-Hungary (Hungary)

  • HUN-CERT

  • NIIF-CSIRT

  • Iceland

  • RHnet CERT

  • Ireland

  • HEANET-CERT

  • IRISS CERT (Ireland)

  • Jumper CSIRT (Ireland)

  • POPCAP-CSIRT

  • Israel

  • ILAN CERT

  • Italy

  • CERT-IT

  • GARR-CERT (Italy)

  • Latvia

  • CERT NIC.LV (Latvia)

  • DDIRV (Latvia)

  • Lithuania

  • CERT-LT (Lithuania)

  • IST-SVDPT (Lithuania)

  • LITNET CERT (Lithuania)

  • Luxembourg

  • CIRCL

  • RESTENA-CSIRT (Luxembourg)

  • Malta

  • mtCERT (Malta)

  • Netherlands

  • AMC-CERT

  • CERT-IDC

  • CERT-KUN

  • CERT-RUG (Netherlands)

  • CERT-UU

  • Edutel-CSIRT

  • GOVCERT.NL (Netherlands)

  • ING Global CIRT

  • KPN-CERT (Netherlands)

  • SURFcert (Netherlands)

  • UvA-CERT

  • Estonia

  • CERT-EE (Estonia)

  • SKY-CERT

  • Finland

  • CERT-FI (Finland)

  • Ericsson PSIRT (Finland)

  • Funet CERT (Finland)

  • Nokia NIRT

  • France

  • APOGEE SecWatch

  • Cert-IST (France)

  • CERT-LEXSI (France)

  • CERT-Renater (France)

  • CERT-Societe Generale

  • CERTA (France)

  • CSIRT BNP Paribas

  • Georgia

  • CERT-GE

  • Germany

  • CERT-BUND

  • CERT-VW (Germany)

  • CERTBw

  • CERTCOM

  • ComCERT

  • dCERT (Germany)

  • DFN-CERT (Germany)

  • GNS-CERT

  • KIT-CERT (Germany)

  • PRE-CERT (Germany)

  • RUS-CERT (Germany)

  • S-CERT (Germany)

  • SAP CERT

  • secu-CERT

  • Siemens CERT (Germany)

  • T-Com-CERT

  • Telekom-CERT (Germany)

  • Greece

  • AUTH-CERT

  • FORTH CERT (Greece)

  • GRNET-CERT

  • Norway

  • NorCERT (Norway)

  • NORDUnet CERT (Norway)

  • UiO-CERT (Norway)

  • UNINETT CERT (Norway)

  • Poland

  • CERT POLSKA (Poland)

  • PIONIER-CERT

  • TP CERT

  • Portugal

  • CERT-IPN

  • CERT.PT (Portugal)

  • CSIRT.FEUP (Portugal)

  • Romania

  • RoCSIRT (Romania)

  • Russian Federation

  • RU-CERT (Russian Federation)

  • WebPlus ISP

  • Slovenia

  • SI-CERT (Slovenia)

  • Spain

  • CCN-CERT (Spain)

  • CSIRTCV

  • esCERT-UPC (Spain)

  • INTECO-CERT (Spain)

  • IRIS-CERT (Spain)

  • Sweden

  • SIST

  • SITIC (Sweden)

  • SUNet CERT (Sweden)

  • Swedbank SIRT (Sweden)

  • TS-CERT (Sweden)

  • Switzerland

  • CC-SEC

  • CERN-CERT

  • IP+ CERT

  • OS-CIRT

  • SWITCH-CERT (Switzerland)

  • Turkey

  • TR-CERT (Turkey)

  • Ulak-CSIRT (Turkey)

  • Ukraine

  • CERT-UA

  • United Kingdom

  • BTCERTCC (United Kingdom)

  • Citigroup

  • CSIRTUK (United Kingdom)

  • DANCERT

  • DCSIRT (United Kingdom)

  • E-CERT

  • EUCS-IRT

  • GovCertUK

  • JANET CSIRT (United Kingdom)

  • MLCIRT

  • MODCERT

  • OxCERT

  • Q-CIRT

  • RBSG-ISIRT (United Kingdom)


4797711

NCIRC киберпреступности CC

mbehring

CERT: Взаимодействие

Атака

Оператор 2

Правоохрани-тельные органы

CSIRT

Оператор 1

CSIRT

Предприятие

CSIRT


Nsp sec
NSP-SEC киберпреступности

“The nsp-security [NSP-SEC] forum is a volunteer incident response mailing list, which coordinates the interaction between ISPs and NSPs in near real-time and tracks exploits and compromised systems as well as mitigates the effects of those exploits on ISP networks. The list has helped mitigate attacks and will continue to do so.”

http://puck.nether.net/mailman/listinfo/nsp-security


Nsp sec1
Кто входит в киберпреступностиNSP-SEC ?

  • Вы работаете в крупном операторе услуг Интернет, центре хостинга, транзитном операторе?

  • Включает ли в себя Ваша работа задачи по обеспечению сетевой безопасности?

  • Готовы ли Вы бесплатно помогать сообществу сетевых оперторов в мониторинге, сборе данных и их анализе?

  • Есть ли у Вас полномочия и технические возможности по расследованию и предотвращению инцидентов в вашей сети?

  • Есть ли у Вас время для участия в работе форума в реальном режиме времени?


Inoc dba
iNOC DBA – киберпреступности Почемуи как?

  • Почему

    • Операторы должны взаимодействовать во время атаки, например – разговаривать :-)

    • Не так просто найти правильный контакт сразу. Инженер может просто не брать телефон.

    • Решение: Выделенная система телефонной связи

    • INOC-DBA: Inter-NOC Dial-by-ASN

  • Как

    • Голосовая система на базе протокола SIP

    • Нумерация базируется на номерах автономных систем в Интернет

      • AS-Number:Extension

      • www.pch.net/inoc-dba/


4797711
Вопросы к обсуждению киберпреступности

Угрозы в Интернете

Центры реагирования

Некоторые методы борьбы


4797711
Отслеживание: основные положения

  • Если префикс источника не фальшивый:

    • Таблица маршрутизации

    • Реестр Интернет-маршрутизации (IRR)—whois

    • Непосредственный выход на сеть

  • Если префикс источника фальшивый:

    • Отследите маршрут потока пакетов по сети

    • Найдите входящее соединение

    • Следующий оператор связи должен продолжать поиск


4797711
Маршрутизаторы/сети – поглотителя

  • «Поглотители» (sinkhole)являютсяметодом защиты на уровне топологии сети—аналогичны «приманкам»(honeypot)

  • Используется для отвода атакующих ударов от пользователя—перенаправляет удар на маршрутизатор, который способен выдержать атаку

  • Используется для мониторингашумового трафика атаки, сканирования, посылки лже-трафика и другой активности (с анонимных либо несуществующих IP адресов)

  • Трафик обычноотводится с помощью маршрутных объявлений BGP и другими средствами

  • Программное обеспечение внутри контролируемого окружения


4797711
Маршрутизаторы/сети – поглотителя

Поглощающая сеть

Пользователи

пользователи

пользователи

192.168.20.0/24—Сеть-мишень

Цель атаки

192.168.20.1 Адрес-мишень


4797711
Маршрутизаторы/сети – поглотителя

Маршрутизатор объявляет 192.168.20.1/32

Поглощающая сеть

пользователь

пользователи

пользователи

192.168.20.0/24—Сеть - мишень

Цель атаки

192.168.20.1 адрес мишени


4797711
Маршрутизаторы/сети – поглотителя

  • Атакующий удар отводится от пользователя / агрегирующего маршрутизатора

  • Теперь можно применить ACL-классификацию, захват пакетов и т.д.

  • Задачей является минимизация рисков для сети на время анализа обстоятельств атаки

Маршрутизатор объявляет 192.168.20.1/32

Поглощающая сеть

пользователи

пользователи

192.168.20.0/24—Сеть-мишень

Цель атаки

192.168.20.1 адрес мишени


4797711
Маршрутизаторы/сети – поглотителя

  • Объявлениеадресного пространства (“space”)в поглощающей сетинаправит в неё весь поступающий «мусор» ( и гипотетически полезный) трафик:

    • Пользовательский трафик при зацикливании

    • Сканирования сети к несуществующим адресам

    • Вирусный трафик

    • Обратное распространение

  • Поместите в поглощающую сеть инструменты слежения для анализа шумового трафика

Маршрутизатор объявляет

“space”

Поглощающая сеть

Пользователи

Пользователи

Пользователи

Пользователи


4797711
Что можно отследить в поглощающей сети?

  • Сканирование с незнакомых IP (распределенногои неиспользуемого адресного пространства)

    • Кто прощупывает сеть—предварительная разведка, «черви»…

  • Сканирование с bogons (нераспределенных адресов)

    • «Черви», зараженные машины

  • Обратное распрстранение после атак

    • Кого атакуют

  • Обратное распространение от шумового трафика («дыры» RFC-1918)

    • Какие пользователи имеют проблемы в настройкахилиуязвимые сети


4797711
Обнаружение «червя» и отчет поглощающей сети

Оператор мгновенно получает уведомлениео наличии «червя»

Система автоматическисоставляет списокинфицированных серверов для отправки в карантин и лечения


4797711
Зачем использовать поглотители поглощающей сети?

  • Потому что они работают! Операторы связи, предприятия и исследователииспользуют их в своих сетях для сбора и анализа данных

  • При накоплении опыта и внедрении новых технологийнаходятсяи другие применения

  • Правильное построение поглотителейтребует тщательных подготовительных операций


4797711

Вопросы и Ответы поглощающей сети

security-request@cisco.com


ad