Wszystko, co chcielibyście wiedzieć...

Listy są sprawdzane i dobrowolnie mogą być akceptowane przez routery poszczególnych operatorów. Meto-da ta działa bardzo dobrze, gdy coś zaczyna się dziać na większą skalę. Wtedy takie ostrzejsze działania - polegające np. na blokowaniu IP - są wskazane, nawet jeśli wiążą się z zablokowaniem serwisów działających na jednym adresie IP. Kolejnym krokiem będzie DNS blackholing, który umożliwi odfiltrowanie ruchu na podstawie zapytań DNS, ale ten system jest dopiero w planach.

W jaki sposób obsługuje się incydenty?

Po zgłoszeniu incydentu, trafia on na specjalną listę i rozpoczyna się praca z nim związana. Firmy mogą zakupić kontrakt kwalifikowanego reagowania, który obejmuje gwarantowaną jakość obsługi. Takie zgłoszenia mają odpowiedni priorytet, przyglądamy się tym aspektom bezpieczeństwa, na którym najbardziej zależy klientowi. W Polsce od 1996 r. działa CERT Polska, zespół powołany do reagowania na naruszenia bezpieczeństwa systemów i sieci. Współpracuje on z podobnymi zespołami na całym świecie. Działa on w naszych strukturach. Jesteśmy też członkami FIRST - Forum for Incident Respon-se and Security Teams, forum grup odpowiedzialnych za bezpieczeństwo i odpowiedź na zagrożenia.

Jakie zjawiska są obserwowane przez CERT?

Przykładowo może to być pojawienie się nowego typu złośliwego oprogramowania kierowanego przeciw konkretnej platformie, usłudze czy nawet firmie. Może to być także przygotowanie do du-

żej akcji phishingowej, ataku odmowy obsługi lub inne tego typu informacje. Monitorujemy zawartość spamu pobieranego przez odpowiednie skrzynki, sprawdzamy malware przez systemy pozwalające na zarażanie przeglądarki, wykrywanie infektorów i w ten sposób rozpoznajemy cel ataków. Badamy także bezpieczeństwo serwisów WWW, szukamy luk, sprawdzamy, czy serwer nie został zarażony. Szukamy symptomów udanego włamania na serwis...

Same zgłoszenia nie zawsze jednak wystarczą...

Posiadamy także system wczesnego ostrzegania - Arakis. Bada on anomalia ruchu, zna sieciowe sygnatury już istniejących zagrożeń, ale rozpoznaje także nieznane dotąd zagrożenia i typy ataku. Zbiera i koreluje informacje przychodzące z różnych sensorów, takich jak honeypoty, badane sieci botnet, zapory sieciowe i systemy antywirusowe. Za pomocą specjalnych algorytmów potrafi kwalifikować ruch, sygnalizując wszelkie anomalia, które wskazują na atak. W ten sposób umie rozpoznawać mutacje znanych już zagrożeń, np. nową wersję znanego już robaka internetowego.

Pozostają jednak luki w przeglądarkach...

W ich naprawianiu powstał wspólny projekt CERT Polska, rządowego CERT, podobnej grupy holenderskiej i operatora akademickiego SURFnet z Holandii. Ma on na celu zbudowanie metod wykrywania ataków na przeglądarki WWW i inne aplikacje klienckie przez zarażone serwisy. Projekt HoneySpider Network ma być odpowiedzią na wzrost zagrożeń związanych z zarażeniem systemu jedynie przez odwiedziny na stronach WWW, bez żadnej interakcji z użytkownikiem. Dane dostarczane przez projekt HoneySpider Network zostaną dołączone do Arakisa, efekty będą widoczne w drugiej połowie 2009 r. Wszystkie informacje dostarczane przez automatyczne systemy poszukiwania nowych zagrożeń będą wykorzystywane w usłudze kwalifikowanego reagowania, związanej z kontraktem SLA.


TOP 200