Михаил Кадер, Реагирование на инциденты кибербезопасности

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Отчет по безопасности Cisco за 2009 г. Социальные сети Риски при работе в Интернете Монетизация киберпреступлений Указатель ресурсов киберпреступности Номинации "образцово-показательные киберпреступления"

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Матрица : доход на капитал, вложенный в киберпреступление

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # "Изделие года" в области киберпреступности "Антивирус XP нашел 2794 угрозы. Рекомендуется их устранить. Продолжить?"

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Bakasoftware управляет криминальной сетью Партнеры Bakasoftware по продаже "шпионского ПО для устрашения Партнеры загружают "ПО- устрашитель" в ботсети Партнеры выплачивают Bakasoftware комиссионные за покупки клиентов Доход партнера 2 за 10 дней – 147 тыс. долларов, за год – 5 млн установок, 2772 покупки Источник: Панель Bakasoftware с доходами за 10 дней ДФ 2 День 10 День 1 День 2 День 3 День 4 День 5 День 6 День 7 День 8 День 9 Итого

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Computer Emergency Response Teams – Основные факты Причина появления: The Internet Worm, 1988 Создание CERT-CC (координационной центр) Carnegie Mellon University Возможные названия: IRT (Incident Response Team) CSIRT (Computer security incident response team) … и другие варианты

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Координационные центры FIRST: Forum of Incident Response Teams TF-CSIRT: Европейский координационный центр

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Европейские CERT-ы (Май 2010) *Europe Cisco PSIRT EGEE OSCT ESACERT (*Europe) ESACERT IBM ERS SunCERT *World Wide NCIRC CC Austria ACOnet-CERT CERT.at R-IT CERT Azerbaijan CERT AzEduNET Belgium BELNET CERT (Belgium) BELNET CERT CERT.be (Belgium) CERT.be Bulgaria CERT Bulgaria (Bulgaria) CERT Bulgaria Croatia CARNet-CERT (Croatia) CARNet-CERT CERT ZSIS HR-CERT (Croatia) HR-CERT Cyprus CYPRUS Czech Republic CESNET-CERTS (Czech Republic) CESNET-CERTS CSIRT-MU CSIRT.CZ CZNIC-CSIRT Denmark CSIRT.DK DK-CERT (Denmark) DK-CERT KMD IAC (Denmark) KMD IAC Estonia CERT-EE (Estonia) CERT-EE SKY-CERT Finland CERT-FI (Finland) CERT-FI Ericsson PSIRT (Finland) Ericsson PSIRT Funet CERT (Finland) Funet CERT Nokia NIRT France APOGEE SecWatch Cert-IST (France) Cert-IST CERT-LEXSI (France) CERT-LEXSI CERT-Renater (France) CERT-Renater CERT-Societe Generale CERTA (France) CERTA CSIRT BNP Paribas Georgia CERT-GE Germany CERT-BUND CERT-VW (Germany) CERT-VW CERTBw CERTCOM ComCERT dCERT (Germany) dCERT DFN-CERT (Germany) DFN-CERT GNS-CERT KIT-CERT (Germany) KIT-CERT PRE-CERT (Germany) PRE-CERT RUS-CERT (Germany) RUS-CERT S-CERT (Germany) S-CERT SAP CERT secu-CERT Siemens CERT (Germany) Siemens CERT T-Com-CERT Telekom-CERT (Germany) Telekom-CERT Greece AUTH-CERT FORTH CERT (Greece) FORTH CERT GRNET-CERT Hungary CERT-Hungary (Hungary) CERT-Hungary HUN-CERT NIIF-CSIRT Iceland RHnet CERT Ireland HEANET-CERT IRISS CERT (Ireland) IRISS CERT Jumper CSIRT (Ireland) Jumper CSIRT POPCAP-CSIRT Israel ILAN CERT Italy CERT-IT GARR-CERT (Italy) GARR-CERT Latvia CERT NIC.LV (Latvia) CERT NIC.LV DDIRV (Latvia) DDIRV Lithuania CERT-LT (Lithuania) CERT-LT IST-SVDPT (Lithuania) IST-SVDPT LITNET CERT (Lithuania) LITNET CERT Luxembourg CIRCL RESTENA-CSIRT (Luxembourg) RESTENA-CSIRT Malta mtCERT (Malta) mtCERT Netherlands AMC-CERT CERT-IDC CERT-KUN CERT-RUG (Netherlands) CERT-RUG CERT-UU Edutel-CSIRT GOVCERT.NL (Netherlands) GOVCERT.NL ING Global CIRT KPN-CERT (Netherlands) KPN-CERT SURFcert (Netherlands) SURFcert UvA-CERT Norway NorCERT (Norway) NorCERT NORDUnet CERT (Norway) NORDUnet CERT UiO-CERT (Norway) UiO-CERT UNINETT CERT (Norway) UNINETT CERT Poland CERT POLSKA (Poland) CERT POLSKA PIONIER-CERT TP CERT Portugal CERT-IPN CERT.PT (Portugal) CERT.PT CSIRT.FEUP (Portugal) CSIRT.FEUP Romania RoCSIRT (Romania) RoCSIRT Russian Federation RU-CERT (Russian Federation) RU-CERT WebPlus ISP Slovenia SI-CERT (Slovenia) SI-CERT Spain CCN-CERT (Spain) CCN-CERT CSIRTCV esCERT-UPC (Spain) esCERT-UPC INTECO-CERT (Spain) INTECO-CERT IRIS-CERT (Spain) IRIS-CERT Sweden SIST SITIC (Sweden) SITIC SUNet CERT (Sweden) SUNet CERT Swedbank SIRT (Sweden) Swedbank SIRT TS-CERT (Sweden) TS-CERT Switzerland CC-SEC CERN-CERT IP+ CERT OS-CIRT SWITCH-CERT (Switzerland) SWITCH-CERT Turkey TR-CERT (Turkey) TR-CERT Ulak-CSIRT (Turkey) Ulak-CSIRT Ukraine CERT-UA United Kingdom BTCERTCC (United Kingdom) BTCERTCC Citigroup CSIRTUK (United Kingdom) CSIRTUK DANCERT DCSIRT (United Kingdom) DCSIRT E-CERT EUCS-IRT GovCertUK JANET CSIRT (United Kingdom) JANET CSIRT MLCIRT MODCERT OxCERT Q-CIRT RBSG-ISIRT (United Kingdom) RBSG-ISIRT

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # CERT: Взаимодействие Предприятие Оператор 1 Оператор 2 mbehring NCIRC CC CSIRT Атака Правоохрани- тельные органы

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # NSP-SEC The nsp-security [NSP-SEC] forum is a volunteer incident response mailing list, which coordinates the interaction between ISPs and NSPs in near real-time and tracks exploits and compromised systems as well as mitigates the effects of those exploits on ISP networks. The list has helped mitigate attacks and will continue to do so.

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Кто входит в NSP-SEC ? Вы работаете в крупном операторе услуг Интернет, центре хостинга, транзитном операторе? Включает ли в себя Ваша работа задачи по обеспечению сетевой безопасности? Готовы ли Вы бесплатно помогать сообществу сетевых оперторов в мониторинге, сборе данных и их анализе? Есть ли у Вас полномочия и технические возможности по расследованию и предотвращению инцидентов в вашей сети? Есть ли у Вас время для участия в работе форума в реальном режиме времени?

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # iNOC DBA – Почему и как? Почему Операторы должны взаимодействовать во время атаки, например – разговаривать :-) Не так просто найти правильный контакт сразу. Инженер может просто не брать телефон. Решение: Выделенная система телефонной связи INOC-DBA: Inter-NOC Dial-by-ASN Как Голосовая система на базе протокола SIP Нумерация базируется на номерах автономных систем в Интернет AS-Number:Extension

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Вопросы к обсуждению Угрозы в Интернете Центры реагирования Некоторые методы борьбы

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Отслеживание: основные положения Если префикс источника не фальшивый: Таблица маршрутизации Реестр Интернет-маршрутизации (IRR)whois Непосредственный выход на сеть Если префикс источника фальшивый: Отследите маршрут потока пакетов по сети Найдите входящее соединение Следующий оператор связи должен продолжать поиск

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Маршрутизаторы/сети – поглотителя «Поглотители» (sinkhole) являются методом защиты на уровне топологии сетианалогичны «приманкам» (honeypot) Используется для отвода атакующих ударов от пользователяперенаправляет удар на маршрутизатор, который способен выдержать атаку Используется для мониторинга шумового трафика атаки, сканирования, посылки лже-трафика и другой активности (с анонимных либо несуществующих IP адресов) Трафик обычно отводится с помощью маршрутных объявлений BGP и другими средствами Программное обеспечение внутри контролируемого окружения

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Маршрутизаторы/сети – поглотителя Цель атаки Адрес-мишень /24Сеть-мишень Поглощающая сеть пользователи Пользователи

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # пользователи Маршрутизаторы/сети – поглотителя Цель атаки адрес мишени /24Сеть - мишень Поглощающая сеть пользователи пользователь Маршрутизатор объявляет /32

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Маршрутизаторы/сети – поглотителя Атакующий удар отводится от пользователя / агрегирующего маршрутизатора Теперь можно применить ACL- классификацию, захват пакетов и т.д. Задачей является минимизация рисков для сети на время анализа обстоятельств атаки Цель атаки адрес мишени /24 Сеть-мишень Поглощающая сеть пользователи Маршрутизатор объявляет /32

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Маршрутизаторы/сети – поглотителя Объявление адресного пространства (space) в поглощающей сети направит в неё весь поступающий «мусор» ( и гипотетически полезный) трафик: Пользовательский трафик при зацикливании Сканирования сети к несуществующим адресам Вирусный трафик Обратное распространение Поместите в поглощающую сеть инструменты слежения для анализа шумового трафика Поглощающ ая сеть Пользователи Маршрутизатор объявляет space Пользователи

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Что можно отследить в поглощающей сети? Сканирование с незнакомых IP (распределенного и неиспользуемого адресного пространства) Кто прощупывает сетьпредварительная разведка, «черви»… Сканирование с bogons (нераспределенных адресов) «Черви», зараженные машины Обратное распрстранение после атак Кого атакуют Обратное распространение от шумового трафика («дыры» RFC-1918) Какие пользователи имеют проблемы в настройках или уязвимые сети

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Обнаружение «червя» и отчет Оператор мгновенно получает уведомление о наличии «червя» Система автоматически составляет список инфицированных серверов для отправки в карантин и лечения

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Зачем использовать поглотители? Потому что они работают! Операторы связи, предприятия и исследователи используют их в своих сетях для сбора и анализа данных При накоплении опыта и внедрении новых технологий находятся и другие применения Правильное построение поглотителей требует тщательных подготовительных операций

© 2010 Cisco и (или) аффилированные компании. Все права сохраняются за правообладателем. # Вопросы и Ответы