Prezentace ze Semináře o bezpečnosti sítí a služeb, Praha, 9. 2. 2016

1. PROKI
PRedikce a Ochrana před
Kybernetickými Incidenty
Pavel Bašta • pavel.basta@nic.cz • 08.02.2016

2. CZ.NIC, z.s.p.o.
● Hlavní činnost správa doménových jmen .CZ

3. CSIRT.CZ
● Národní CSIRT tým pro ČR
● Založen v rámci plnění grantu MV ČR „Kybernetické hrozby z
hlediska bezpečnostních zájmů České republiky“ (2007 – 2010)
● V letech 2008 – 2010 provozován sdružením CESNET
● CZ.NIC provozuje pracoviště CSIRT.CZ od 1.1.2011
● Status „akreditovaný“ u TI
● Aktuálně 8 stálých členů týmu, další zdroje dle potřeby
● Vznik na základě Memoranda s MV ČR, poté s NBÚ
● Nyní veřejnoprávní smlouva
● www.csirt.cz

4. CSIRT.CZ
● Hlavní náplň činnosti
● Řešení bezpečnostních incidentů
● Vzdělávání a osvěta
● Pracovní skupiny
● Prevence
– Honeypoty
– Skener webu
– MDM
– Zátěžové testy

5. Motivace PROKI
● Potřeba automatizovaně rozesílat informace o
bezpečnostních incidentech týkajících se sítí v
ČR
● Veřejné i neveřejné zdroje
● Služba pro správce z koncových sítí
● Potřeba hlubšího pochopení významu incidentů
● Turris router
● Pochopení již známých incidentů → Identifikace
dosud nezjištěných problémů
● Identifikace problematických IP

6. Části systému
● Sběr bezpečnostních incidentů
● IntelMQ
– Open source
– Snadná tvorba vlastních modulů
– Důraz na modularitu
– Možnost obohacování dat
● Upozorňování subjektů
● Pouze informace relevantní pro ČR

7. Části systému
● Agregace informací do jedné zprávy
● Trvalé úložiště a analýza událostí
● Elasticsearch
– Dlouhodobé uložení dat
– Jednoduché analytické funkce
– Další obohacení dat (PassiveDNS, proces IH,
Virustotal.com, IP reputační systémy) →
vyhledávání vztahů mezi incidenty, dohledávání
dalších souvislostí, historie incidentů na IP adrese

13. Děkuji za pozornost
Pavel Bašta • pavel.basta@nic.cz