Реагирование на инциденты компьютерной безопасности: Организации, ассоциации и проекты Silk Security Workshop июня, 2004 Yuri Demchenko, University of Amsterdam

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_2 Содержание Известные Центры реагирования на компьютерные инциденты безопасности и Ассоциации u TF-CSIRT и Trusted Introducer u FIRST u Проекты TRANSITS, eCSIRT, EISPP u CERT/CC u SANS и SecurityFocus Стандартизация u IETF: GRIP, IDMEF, IODEF Примеры CSIRT – CERT-NL, JANET-CERT, RU-CERT Координация борьбы со спамом Использование средств наблюдения в сети

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_3 TF-CSIRT: Историческая справка Этапы развития координации CSIRT: Начиная с 90-х: Создан FIRST (Forum for Security Incident Response Team) Место для встречи членов FIRST и заинтересованных организаций Основан на взаимном доверии и призван содействовать установлению и развитию доверия между CSIRT Обмен рабочей информацией Середина 90-х: Попытка создать EuroCERT как координирующий центр: Не оправдала себя как решение «сверху» без необходимой инфраструктуры «снизу» 2000: создана целевая рабочая группа TF-CSIRT как форум для координации общих действий/проектов и обмена опытом Работа определяется двухгодичной Программой - Terms of Reference Никаких членских взносов Открыта для не-членов TERENA TERENA обеспечивает организационную поддержку

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_4 TF-CSIRT (Task Force for CSIRT Coordination in Europe) - Миссия: Содействовать развитию сотрудничества между CSIRT в Европе. Цели: a.Форум для обмена информацией, опытом и формирования согласованной политики b.Инициировать новые проекты и создавать пилотные сервисы для Европейских CSIRT c.Содействовать внедрению общих стандартов и процедур для реагирования на инциденты компьютерной безопасности d.Содействовать созданию новых CSIRT и подготовке их персонала e.Координировать согласованные инициативы CSIRT и выполнять функцию контактного органа с Европейкой Комиссией Членами TF-CSIRT могут быть: Представители действующих CSIRT или находящихся в состоянии становления u CSIRT образовательных сетей и организаций, государственные, региональные, Интернет- провайдеров, а также коммерческие CSIRT Специалисты и представители организаций и фирм, которые работают в области безопасности компьютерных систем Участие в совещаниях для членов TF-CSIRT, специалистов или по приглашению

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_5 TF-CSIRT: основные направления деятельности Доверительный рекомендатель (Trusted Introducer) Контакт безопасности для IP-ресурса (совместно с RIPE NCC) Комплекс средств для описания и регистрации инцидентов безопасности на основе IODEF (Incident Description and Exchange Format) Формат для описания и обмена информацией об уязвимостях и эксплоитах (VEDEF - Vulnerability and Exploit Description and Exchange Format) Аннотированная директория средств дя обработки инцидентов (CHIHT - Clearinghouse for Incident Handling Tools) Тренинг персонала (новых) CSIRT Содействие созданию новых CSIRTs Сотрудничество с группой по безопасности проекта GN2 (на базе GEANT) Регулярная связь с Европейской Комиссией Регулярная связь с Европейским Форумом защиты пользователей (European Forum of Abuse Teams)

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_6 TF-CSIRT: Результаты и проекты (1) Законченные проекты и операционные сервисы Доверительный рекомендатель (Trusted Introducer) и Директория Европейских CSIRT Формат для описания и обмена информацией об инцидентах – IODEF (Incident Object Description and Exchange Format) u Опубликован RFC 3067 – IODEF Requirements (2001) Контакт безопасности для IP-ресурса - RIPE IRT Object (2002) Директория средств дя обработки инцидентов (CHIHT - Clearinghouse for Incident Handling Tools) (2002) Базовые тренинговые материалы для персонала (новых) CSIRT u В рамках проекта TRANSITS (2002)

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_7 TF-CSIRT: Результаты и проекты (2) В процессе развития Формат для описания и обмена информацией об уязвимостях и эксплоитах (VEDEF - Vulnerability and Exploit Description and Exchange Format) u На основе и как дальнейшее развитие проекта EISPP Комлекс стандартных процедур для обработки инцидентов Создание центра и инфраструктуры для обмена информацией об инцидентах u На основе и как дальнейшее развитие проекта eCSIRT.net

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_8 Trusted Introducer (1) - Trusted Introducer (TI, доверительный рекомендатель) – выполняет роль доверительной третьей стороны, которая вводит новый субьект в «сеть доверия» (web of trust) u Доверие – основа эффективной работы сети CSIRT u Не ограниченная регионом TERENA или типом CSIRT u В настоящее время аккредитировано 39 CSIRT на уровне 2 (июнь 2004) u Стоимость обслуживания – 720 EUR в год Организация u В настоящее TI обслуживается предприятием Stelvio, Голландия u Деятельность контролируется Советом с участием представителей TERENA, TF-CSIRT и CSIRT уровня 2

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_9 Trusted Introducer (2) Формализованная процедура проверки/аккредитации CSIRT до уровня 2 u Level 0 – известные CSIRT (в настоящее время – более 100 в Европе) u Level 1 – кандидаты u Level 2 – аккредитированные CSIRT или команды включенные в сеть доверия Услуги для аккредиированных CSIRT u Специальные информационные материалы и оповещения u Создание и обслуживание IRT-обьектов в базе данных RIPE NCC Опыт TI – в процессе рассмотрения FIRST

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_10 FIRST - FIRST ( Forum for Incident Response Security Teams) u Более чем 120 членов CSIRT u Нет формальной процедуры принятия в члены и нет специальной процедуры для поддержания «доверительных» отношений u Членские взносы – около 1200 USD Ежегодные конференции u Участие только для членов FIRST или по приглашению u В Европе – каждый 3-й год u Регистрационный взнос – около 1200 EUR/USD Технические коллоквиумы – два раза в год только для членов u Не имеет своей технической программы, но содействует обмену опытом между другими проектами и программами

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_11 IRT-контакт в базе данных RIPE NCC Поиск контактной информации по IP-адресу – один из компонентов реагирования/расследования инцидента u Используется База данных региональных IP-регистров – RIPE NCC, InterNIC, APNIC, LatNIC u Обычно содержится информация об Интернет сервис-провайдере или организации, обслуживающей блок IP-адресов IRT-обьект в базе данных RIPE NCC позволяет добавить информацию о том, с кем контактировать по вопросам безопасности или в случае инцидента u Является продуктом совместной работы TF-CSIRT и RIPE NCC Database Group u Цель – поиск контактов безопасности для определенного IP-адресного пространства u RIPE NCC document ripe Создание обьекта и обслуживание обьекта u Право внесения обьекта в БД принадлежит ИСП, обслуживающего группу IP- адресов или Trusted Introducer (TI) –Все CSIRT уровня 2 - в базе данных TI u Проверка и обслуживание –TI

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_12 CHIHT (Clearing House for Incident Handling Tools) - Цель – содействовать CSIRT в создании необходимой технической базы Обслуживаемая директория средств, применяемых для реагирования и расследования инцидентов безопасности, а также поддержания и контроля безопасности компьютерных систем u Средства заносятся по рекомендации CSIRT или специалистов по безопасности на основе их опыта работы с этими средствами u Включают категории: –Evidence gathering & investigation, –System recovery, –CSIRT operations, –Remote access, –Proactive tools

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_13 TRANSITS - Проект финансировался Европейской Комиссией в г.г. Проект направлен на подготовку тренинговых курсов и проведения тренинга персонала CSIRT Метод – передача знаний и опыта от опытных команд/центров к начинающим u Тренинговые материалы подготовлены специалистами из ведущих CSIRT Разработанный двухдневный тренинговый курс стоит из модулей u Operational u Legal u Technical u Organisational u Vulnerabilities Согласно проекту проведено 6 тренинговых курсов в течение 2-х лет u Матералы доступны для членов TF-CSIRT для собственного использования

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_14 eCSIRT.net - Проект финансировался Европейской Комиссией в г.г. Цель: Создание сети для обмена информацией об инцидентах между Европейскими CSIRT u С целью разрешения инцидентов u Для выявления статистики и трендов u С целью раннего предупреждения Разработка стандартных процессов и процедур u Использование IDMEF и IODEF –Необходимость определения специальных конфигураций/профилей u Определение базовых понятий для создания доверительной сети обмена информацией об инцидентах u Автоматизация с целью идентификации событий и трендов Пилотная система опробована между группой доверительных CSIRT с целью будущего расширения

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_15 EISPP - European Information Security Promotion Programme (EISPP) Цель – помощь малому бизнесу в получении регулярной информации по безопасности, в первую очередь, оповещений об уязвимостях и возможных угрозах u Работа с материалами по безопасности требует определенной квалификации, которая часто недоступна малому бизнесу Осведомленность и профилактические меры должны быть включены в практику всех предприятий, использующих компьютеры и Интернет u Предложена модель услуг для малого бизнеса и модель последующего финансирования u Обеспечение безопасности – в интересах обеих сервис-провайдеров и самих предприятий Положительные результаты проекта: u Разработана технология и система для анализа документов по безопасности и производства актуальных и необходимых оповещений подписчикам u Разработан формат для оповещений EISPP Common Format v2.0

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_16 IODEF (Incident Object Description and Exchange Format) Исторически начат как инициатива TF-CSIRT и передан для дальнейшего развития в рамках рабочей группы INCH WG (Extended Incident Handling) IETF u Опубликован RFC3067 – IODEF Requirements u TF-CSIRT поддерживает связь с INCH WG и обеспечивает обратную связь u INCH WG обеспечивает более широкое участие заинтересованных сторон Стандартный формат описания инцидентов позволяет u Упростить обмен информацией между Центрами реагирования u Стандартный формат заявок и представления информации об инцидентах u Стандартный формат для сбора статистики и последующего анализа трендов IODEF становится основой для других форматов описании инфоримационных обьектов в области безопасности, например u RID – Real-time Internetwork Defense (поддерживается US AFC) - IETF –Задача - проследить источник атаки и остановить или уменьшить влияние атаки u VEDEF (Vulnerability and Exploit Description and Exchange Format) – TF-CSIRT

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_17 IETF INCH-WG IETF INCH-WG – Extended Incident Handling Working Group u Цель: Проведение IODEF через формальную процедуру стандартизации IETF – IODEF спецификация в процессе стандартизации Основные направления работы и результаты u Разработаны документы, определяющие –Требования в формату описания инцидента на основе IODEF –Формальную модель инцидента в формате IODEF –Рекомендации по внедрению u Исторически сохраняется (частичная) совместимость и возможность трансляции с IDMEF (Intrusion Description and Exchange Format) u Важным вопросом в разработке IODEF уделяется интернационализации (много- языковости) и локализации Неофициальная страничка INCH-WG -

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_18 Практический опыт внедрения IODEF CERT/CC AirCERT Automated Incident Reporting - и JPCERT/CC: Internet Scan Data Acquisition System (ISDAS) - eCSIRT.net: The European CSIRT Network -

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_19 IETF IDWG IDWG (Intrusion Detection Working Group) – приостановлена u Разработка IDMEF (Intrusion Detection Message Exchange Format) для автоматизации обмена информацией с IDS (Intrusion Detection Systems) Внедрение IDMEF u В свободно-распространяемой IDS Snort u В рамках проектов AirCERT, eCSIRT u Исторически составил основу для IODEF и сохраняет совместимость

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_20 IETF GRIP ( ) RFC Site Security Handbook (на замену RFC1244) Руководство по составлению политики безопасности и поддерживающих методик для систем, подключенных к Интернет RFC Expectation for Security Incident Response Teams Предоставляет методику как организовать Центр реагирования на компьютерные инциденты безопасности (CSIRT - Computer Security Incident Response Team) и базовые документы: Политика безопасности, Политика реагирования на инциденты безопасности, и другие RFC Users' Security Handbook Руководство пользователям по обеспечению безопасности информации, данных, и телекоммуникаций RFC Recommended Internet Service Provider Security Services and Procedures Описывает в форме рекоммендаций, что пользователи Интернет могут ожидать (и требовать) от Интернет сервис- провайдеров RFC Guidelines for Evidence Collection and Archiving Рекомендации по сбору и хранению улик и другой информации, связанной с компьютерными инцидентами безопасности RFC Internet Security Glossary Содержит расширенный список терминов по безопасности как из области операционной и реагирования на компьютерные инциденты безопасности, так и из области технологий безопасности данных и приложений

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_21 CERT/CC - CERT/CC (CERT Coordination Center) раположен в Carnegie Mellon University в Питсбурге, США Создан при поддержке Defense Advanced Research Projects Agency (DARPA) после инцидента с червем Мориса (Morris worm), который в 1988 парализовал работу окого 10% Интернет

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_22 CERT/CC Программа CERT/CC создан для работы с Интернет сообществом с целью выявления и разрешения компьютерных инцидентов безопасности, а также выработки мер для предотвращения будущих инцидентов. В частности, миссия CERT/CC состоит в следующем: Обесечивать надежный, доверительный, круглосуточный, единый центр для контактов в случае чрезвычайных ситуаций Содействовать эффективному взаимодействию экспертов с целью разрешения проблем безопасности Выполнять роль центра для идентификации и коррекции уязвимостей в компьютерных системах Поддерживать тесные связи с иследовательскими работами и проводить исследования с целью улучшения безопасности существующих систем Инициировать профилактические меры с цель увеличения осведомленности и понимания вопросов безопасности информационно- телекомуникационных систем в среде пользователей и сервис- провайдеров

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_23 CERT/CC: Направления деятельности Анализ уязвимосей и обработа инцидентов Развитие технологии построения устойчивых информационно- телекоммуникационных систем, в частности, Survivable Enterprise Management u Технический базис для идентификации и устранения уязвимостей в ИТС с целью защиты критических сервисов в случае, если произошло несанкционированное проникновение в систему u Образование и тренинг Оповещения/Alerts u Другие информационные услуги по оповещению Распространение информации u Публикации u Презентации u Отношения с прессой Участие в ассоциациях и мероприятиях, имеющих дело с вопросами безопасности

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_24 AirCERT - Automated Incident Reporting (AirCERT) является распределенной системой обмена данными о событиях безопасности между административными доменами Проект инициирован и курируется CERT/CC Цель создания системы – обнаружение вредной активности злоумышленника на основе мониторинга информации с контрольных точек наблюдения События безопасности могут включать от автоматических оповедений IDS до информации об инцидентах, основанных на заключениях специалистов Использует стандартные форматы u IDMEF - для оповещений от IDS u IODEF - для информации об инцидентах u SNML - для описания сетевых компонентов и информации о сетевых событиях Свободно распространяемое ПО на основе C, Perl, PHP u

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_25 SANS - SANS (SysAdmin, Audit, Network, Security) Institute был основан в 1989 как образовательно-исследовательское учреждение Разрабатывает, поддерживает и распространяет бесплатно многочисленные информационные и образовательные материалы по вопросам безопасности Предоставляет услуги тренинга и сертификации специалистов Поддерживает обширную сеть (165,000) специалистов и практиков в области безопасности Информационные услуги u Internet Storm Center – система раннего предупреждения в Интернет u Weekly vulnerability digest u Weekly news digest (NewsBites) u Библиотека оригинальных статей, научных исследований, методических рекомендаций

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_26 Проекты и программы в SANS Information Security Training - более чем 400 многодневных курсов в 90 местах во всем мире The GIAC Certification Program - для специалистов Consensus Security Awareness Training – для пользователей SANS Weekly Bulletins and Alerts – список рассылки о новостях в области безопасности и об уязвимостях SANS Information Security Reading Room и SANS Step-by-Step Guides SANS Security Policy Project – свободно доступные образцы написания политики безопасности, разработанные на основе реального опыта Internet Storm Center – система раннего оповещения SCORE – форум для специалистов о безопасности ПО и ОС SANS/FBI Annual Top Twenty Internet Security Vulnerabilities List Information Security Glossary - слова, акронимы, и другое Intrusion Detection FAQ – Часто задаваемые вопросы об обнаружении вторжений

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_27 SecurityFocus - Известный информационный центр по широкому кругу вопросов обеспечения безопасности Открытые форумы для оповещения и обсуждения текущих инцидентов в реальном времени - u Можно запросить помощь и рекомендации в отношении атак и инцидентов Содержит обслуживаемые директории по различным вопросам безопасности и архивы списков рассылки u Разделы по операционным системам, включая список рассылки BugTraq для Windows систем u Вирусы и анти-вирусная защита Архив средств для работы с инцидентами и защиты компьютерных систем - u Обширнейшая пополняемая коллекция средств с аннотациями и рейтингом –Включает коммерческие средства

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_28 CVE - Цель разработки CVE (Common Vulnerabilities and Exposures) - стандартизовать названия всех известных уязвимостей и слабостей u Однако регистрация и присвоение идентификационных номеров выполняется без явной классификации, что затрудняет использование директории без специальных средств поиска Совместимые продукты помещаются в специальный список «CVE- Compatible Products and Services» u "CVE-compatible" ("CVE-совместимый") означает, что продукт или сервис использует CVE таким образом, который позволяет осуществлять перекрестные ссылки между другими CVE-совместими продуктами u Два этапа: Декларирование и Оценка u Две организации (только:-) обьявили о совместимости с CVE форматом - –Trend Micro, Inc. и Security Horizon, Inc. Спонсируется US-CERT at the U.S. Department of Homeland Security

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_29 Опыт работы известных CSIRT CERT-NL JANET-CERT CERT-RU Другие примеры – ищите в директории Trusted Introducer

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_30 CERT-NL (1) - Согласно классификации – Распределенный CSIRT u Два штатных сотрудника – Jacques Schuurman, Jan Meijer u До 10 других сотрудников работают посменно u Один человек находится на дежурстве с гарантированным временем реакции – не более 2-4-х часов CERT-NL ведет активную информационную работу u Оповещение своих пользователей об угрозах и рекомендации по безопасности –Некоторые документы сопровождаются комментариями –Отдельные документы переводятся на голландский язык До 2002 года выполнял также функции государственного центра реагирования на КИБ u Содействовал созданию государственного Центра CERT-NO (CERT Nederlandse Overheid)

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_31 CERT-NL (2) Пример статистики об инцидентах, предоставляемой CERT-NL

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_32 JANET-CERT - Согласно классификации – Внутренний CSIRT академической сети JANET с функциями координирующего CSIRT Ведет реальную работу по реагированию на инциденты в своей сети Ведет обширную информационную работу u Предоставляет библиографию документов по вопросам безопасности u Советы и средства для улучшения безопасности компьютерных систем u Руководство по расследованию DDoS-инцидентов в организациях и сети UKERNA u Security Software webpage at JANET-CERT

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_33 CERT-RU - Центр реагирования на компьютерные инциденты в сети RBnet Член FIRST Описывает регламент реагирования на КИБ Политика реагирования на инциденты Имеет стандартную форму реагирования на инциденты Предоставляет информацию о компьютерных уязвимостях и предупреждениях безопасности

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_34 Координация борьбы со спамом Спам является всеобщей проблемой в Интернет u Вопрос специально рассматривался правительством США и Европейской комиссией –Имеются соответствующие рекомендации и регламентирующие документы Европейский центр координации борьбы со спамом u Анализ государственных анти-спамовских политик RIPE Anti-Spam Working Group –

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_35 Использование средств наблюдения в сети (1) Требование по осуществлению мер безопасности в государстве и противодействие терроризму и преступности Европейское законодательство по этому вопросу u Convention on Cybercrime, ETS No.: u Великобритания: The Regulation of Investigatory Powers Act 2000 (см. разделы в ) u Установка оборудования требует Парламентской процедуры (утверждения) u Стоимость оборудования может быть скомпенсирована «заказчиком» u На практике большие провайдеры устанавливают оборудование за свои средства, но потом предоставляют услуги отслеживания трафика за дополнительную плату при наличии судебного ордера

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_36 Использование средств наблюдения в сети (2) Вопрос, который часто вызывает горячие дискуссии в среде пользователей и провайдеров Интернет Обсуждался также в IETF u Презентация Lawful Intercept in IP Networks - Fred Baker, бывший председатель IETF, заслуженный инженер Cisco Cisco Architecture for Lawful Intercept In IP Networks u С точки зрения производителя оборудование, создание таких средств является требованием потребителей, исходящем из национальных регулирующих актов Пример, скоординированной реакция Интернет сообщества в Голландии -

June 21-24, 2004 Silk Security Workshop CERTs/CSIRTs: Communities and Projects Slide_37 Вопросы и комментарии?