3. CSIRT.CZ
● Národní CSIRT tým pro ČR
● Založen v rámci plnění grantu MV ČR „Kybernetické hrozby z
hlediska bezpečnostních zájmů České republiky“ (2007 – 2010)
● V letech 2008 – 2010 provozován sdružením CESNET
● CZ.NIC provozuje pracoviště CSIRT.CZ od 1.1.2011
● Status „akreditovaný“ u TI
● Aktuálně 8 stálých členů týmu, další zdroje dle potřeby
● Vznik na základě Memoranda s MV ČR, poté s NBÚ
● Nyní veřejnoprávní smlouva
● www.csirt.cz
4. CSIRT.CZ
● Hlavní náplň činnosti
● Řešení bezpečnostních incidentů
● Vzdělávání a osvěta
● Pracovní skupiny
● Prevence
– Honeypoty
– Skener webu
– MDM
– Zátěžové testy
5. Motivace PROKI
● Potřeba automatizovaně rozesílat informace o
bezpečnostních incidentech týkajících se sítí v
ČR
● Veřejné i neveřejné zdroje
● Služba pro správce z koncových sítí
● Potřeba hlubšího pochopení významu incidentů
● Turris router
● Pochopení již známých incidentů → Identifikace
dosud nezjištěných problémů
● Identifikace problematických IP
6. Části systému
● Sběr bezpečnostních incidentů
● IntelMQ
– Open source
– Snadná tvorba vlastních modulů
– Důraz na modularitu
– Možnost obohacování dat
● Upozorňování subjektů
● Pouze informace relevantní pro ČR
7. Části systému
● Agregace informací do jedné zprávy
● Trvalé úložiště a analýza událostí
● Elasticsearch
– Dlouhodobé uložení dat
– Jednoduché analytické funkce
– Další obohacení dat (PassiveDNS, proces IH,
Virustotal.com, IP reputační systémy) →
vyhledávání vztahů mezi incidenty, dohledávání
dalších souvislostí, historie incidentů na IP adrese