Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa – „Proactive detection of network security incidents”.

Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o wykrytych incydentach, jeszcze zanim właściciele atakowanych sieci staną się tego świadomi. Zwiększenie efektywności tych działań jest fundamentem dla prężnego funkcjonowania zespołów CERT i zwiększenia ich możliwości obsługi incydentów.

Opublikowany dokument to wnikliwa analiza sposobów w jaki CERTy, w szczególności narodowe i rządowe, wykrywają incydenty w swoich obszarach działalności. Raport zawiera również zestaw najlepszych praktyk i użytecznych narzędzi dla nowo powstałych zespołów typu CERT, analizę problemów jakim muszą stawić czoła i zestaw rekomendacji dla usprawnienia obsługi incydentów przez zespoły CERT. (więcej…)

Na zaproszenie Hong Kong Productivity Council (HKPC) zespół CERT Polska zorganizował w Hongkongu dwudniowe warsztaty techniczne traktujące o atakach z wykorzystaniem stron internetowych (Monitoring and Analyzing Web Client Side Attacks Workshop). Wydarzenie to odbyło się w ramach międzynarodowej konferencji Information Security Summit 2009. Grupą docelową byli specjaliści związani z bezpieczeństwem IT zarówno instytucji walczących z cyberprzestępczością, jak i instytucji finansowych, e-commerce i banków. Wszyscy uczestnicy pochodzili z regionu Azji i Pacyfiku. Poza warsztatami nasz przedstawiciel wygłosił także prezentację dostępną dla wszystkich uczestników konferencji opisującą projekt HoneySpider Network.

Biorący udział w szkoleniu poznawali motywy i cele cyberprzestępców, oraz przede wszystkim metody wykrywania i walki ze złośliwymi stronami internetowymi. W tym celu przygotowaliśmy przenośne laboratorium. Składało się ono z laptopów pełniących rolę serwerów, routera z access pointem, oraz obrazów wirtualnych stacji roboczych. Wśród serwerów były m.in. serwery www zawierające specjalnie spreparowane złośliwe strony www, a wirtualne systemy posiadały narzędzia do ich analizy. Wszystko to zostało umiejscowione w odizolowanym i kontrolowanym środowisku sieciowym. Dodatkowo, również na przenośnych serwerach, zaprezentowany został rozwijany przez NASK i partnerów holenderskich system HoneySpider Network. Dzięki temu uczestnicy szkolenia mogli zdiagnozować zarówno stworzone na potrzeby warsztatu, jak i rzeczywiste złośliwe strony internetowe. Wykorzystane zostało także jedno z ćwiczeń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji ENISA opracowanych wspólnie z NASK i przeznaczonych dla zespołów typu CERT (ENISA CERT Exercises).

(więcej…)

Od marca 2009 roku CERT Polska weźmie udział w dwuletnim unijnym projekcie FISHA (A Framework for Information Sharing and Alerting). Głównym celem projektu jest opracowanie prototypu systemu EISAS (European Information Sharing and Alerting System), czyli ogólnoeuropejskiego systemu wymiany i dostępu do informacji dotyczących bezpieczeństwa komputerowego oraz ostrzegania przed zagrożeniami w sieci Internet. Najważniejszym przeznaczeniem takiego systemu ma być skuteczne dotarcie z aktualną informacją oraz edukacja, a w efekcie wzrost świadomości – odnośnie kwestii bezpieczeństwa on-line – wśród użytkowników domowych oraz firm z sektora małych i średnich przedsiębiorstw. Skoncentrowanie uwagi na tego typu odbiorcach wynika z faktu, że grupy te, jako całość, mają znaczący wpływ na stan bezpieczeństwa w sieci, a tym samym na bezpieczeństwo krytycznej infrastruktury teleinformatycznej krajów Unii Europejskiej. Jednocześnie, obie te grupy pozostają łatwym celem ataków, z powodu zbyt niskiej świadomości zagadnień bezpieczeństwa oraz braku umiejętności wdrażania odpowiednich środków zabezpieczeń lub ich zaniedbywania.

Projekt realizowany będzie w ramach specjalnego programu „Prevention, Preparedness and Consequence Management of Terrorism and other Security Related Risks” Komisji Europejskiej i powstanie we współpracy pomiędzy NASK, CERTem węgierskim (CERT-Hungary) oraz niemieckim instytutem badawczym Internet Security Centre z Uniwersytetu Gelsenkirchen.

Wstępnym wyznacznikiem prac w tym projekcie są rezultaty badań Europejskiej Agencji Bezpieczeństwa Sieci i Informacji (ENISA), przeprowadzonych w latach 2006-2007 i dotyczących możliwości utworzenia systemu typu EISAS. W opracowaniu studium wykonalności takiego systemu uczestniczyli (w ramach specjalnych grup roboczych ENISA) specjaliści z wielu różnych podmiotów zajmujących się bezpieczeństwem IT, w tym również z zespołu CERT Polska.

Projekt FISHA będzie obejmował opracowanie koncepcji ogólnoeuropejskiej wymiany informacji na temat zagrożeń oraz najlepszych praktyk dotyczących zabezpieczeń, łącząc istniejące już inicjatywy. Aktualnie, pomimo wielu takich przedsięwzięć w państwach członkowskich UE, w tym licznych serwisów bezpieczeństwa komputerowego, brakuje aktywnej i wielostronnej współpracy pomiędzy nimi. Z uwagi na to, jednym z głównych zadań projektowych będzie zapoczątkowanie i/lub wzmocnienie mechanizmów współpracy, także w oparciu o te, z powodzeniem działające w CERTowej społeczności. Funkcjonowanie systemu EISAS będzie wymagało m.in. opracowania architektury systemu a także specjalnego protokołu wymiany informacji, który zapewni sprawną i bezpieczną komunikację pomiędzy zaangażowanymi podmiotami.

W ramach projektu powstanie prototyp dedykowanego portalu internetowego dla systemu EISAS. Z założenia, portal ma stanowić europejskie forum informacyjne, na którym będą publikowane aktualne informacje dotyczące bezpieczeństwa komputerowego, pozyskiwane w ramach systemu EISAS. Przewidziane jest, że każde z państw członkowskich UE będzie miało docelowo własny, krajowy portal, pobierający odpowiednie informacje z głównego portalu. Ze względu na specyfikę rozważanej grupy odbiorców, istotne jest, żeby wszystkie informacje, publikowane na portalach, były sformułowane w łatwy do zrozumienia sposób. O przygotowanie komunikatów w „mniej technicznym” języku zadbają grupy specjalistów. Równocześnie, w ramach portali krajowych, komunikaty będą tłumaczone na język ojczysty danej narodowości. Przystępnie przygotowane informacje będą dostępne zarówno dla bezpośrednio zainteresowanych subskrybentów, jak i dla innych – istniejących już w danym kraju – serwisów internetowych, które powstały i działają z myślą o podobnych grupach odbiorców (np. Waarschuwingsdienst – w Holandii, CyTRAP Labs – w Szwajcarii, Cases Luxemburg, Sieciaki.pl – w Polsce).

Ważnym zadaniem projektu FISHA będzie także zaplanowanie i przygotowanie programu akcji informacyjno-edukacyjnej. W tym zakresie, istotny będzie przede wszystkim wybór odpowiednich środków komunikacji masowej i produktów edukacyjnych (filmy, broszury, plakaty, szkolenia, itp.), które pozwolą najskuteczniej dotrzeć do odbiorców z przystępną informacją, dotyczącą zagrożeń oraz zaleceń bezpieczeństwa komputerowego.

Inicjatywa zapoczątkowana projektem FISHA ma być motywacją do przeprowadzenia odpowiednich działań oraz akcji edukacyjnych w całej UE. Wsparciem ma być specjalny przewodnik, który zawierać będzie opis procedur, informacje oraz wskazówki, w jaki sposób, w dowolnym państwie UE, można stworzyć krajową replikę europejskiego portalu internetowego oraz systemu ostrzegania i wymiany informacji dotyczących bezpieczeństwa on-line, a także odpowiedniego programu edukacyjnego. W przyszłości, podjęta inicjatywa ma doprowadzić do wzrostu świadomości zagrożeń bezpieczeństwa komputerowego wśród użytkowników domowych oraz kadry sektora małych i średnich przedsiębiorstw UE, a także do efektywnego rozwoju współpracy pomiędzy kluczowymi podmiotami, co w efekcie ma przyczynić się do poprawy stanu bezpieczeństwa internetowego w skali europejskiej.

Powodzenie tej inicjatywy będzie zależało z pewnością od zainteresowania i zaangażowania ze strony instytucji rządowych państw członkowskich UE, Komisji Europejskiej, organizacji ENISA, różnych innych instytucji ds. bezpieczeństwa IT oraz środowiska akademickiego. Dlatego, w ramach projektu powstanie także odpowiedni program adresowany do takich instytucji, który ma skłonić do wsparcia tej inicjatywy. Nadmieńmy, że współpracę w realizacji projektu zaoferowały dotychczas m.in.: Finnish Telecom Agency FICORA, Electronic Government Centre of the Hungary, Hungarian Telecom Agency NHH, holenderski CERT rządowy (GovCERT.NL) oraz Cisco Hungary.

Prace zespołu CERT Polska w projekcie FISHA będą wspierane przez inne zespoły działające w strukturach NASK, w tym przez Dział Naukowy oraz Dział Rozwoju Oprogramowania. Ponadto, wykorzystane zostaną efekty badań oraz doświadczenia zdobyte podczas realizacji projektu Saferinternet.pl (w szczególności jego części -  Awareness), w ramach unijnego programu Safer Internet. W Polsce, projekt ten wspólnie realizują NASK oraz Fundacja Dzieci Niczyje, a jednym z głównych zadań jest koordynacja działań edukacyjnych promujących bezpieczne i efektywne korzystanie z Internetu wśród dzieci i młodzieży.

ENISA
(The European Network and Information Security Agency), czyli Europejska Agencja Bezpieczeństwa Sieci i Informacji, w swoim najnowszym raporcie General Report 2007 a także na swojej oficjalnej stronie, alarmuje Europę o konieczności większego zaangażowania państw członkowskich Unii Europejskiej w działania mające na celu podniesienie poziomu bezpieczeństwa sieciowej infrastruktury obejmującej ich własne kraje a także całą Europę, aby uchronić „europejski” Internet przed „cyber-atakiem 9/11″.

Niedostrzeganie faktycznego problemu zagrożenia, zwłaszcza w sektorach rządowym i bankowym, stwarza bardzo poważne zagrożenie dla strategicznych części europejskiej infrastruktury internetowej. Dlatego jak najszybciej powinny zostać podjęte zdecydowane działania, które poprawią aktualną sytuację.

W skali krajowej, nadal istnieje zbyt niski poziom świadomości istniejących zagrożeń, zwłaszcza wśród małych i średnich przedsiębiorstw, które stanowią 2/3 całości rynku ekonomicznego Unii Europejskiej. Niechęć do ponoszenia nakładów finansowych na zabezpieczenia sieci oraz na środki ochrony zasobów powoduje, że sieci należące do tych przedsiębiorstw stają się „najsłabszym ogniwem” infrastruktury Internetu, które może zostać wykorzystane w spektakularnym ataku. W tym zakresie ENISA widzi konieczność prowadzenia odpowiednich szkoleń oraz programów uświadamiających.

W skali europejskiej, problemy dotyczą niedostosowania odpowiednich struktur krajów członkowskich do działań nadzorujących bezpieczeństwo sieciowe i informacyjne. Tylko 14 z 27 krajów Unii posiada własne zespoły typu CERT (z czego 6 tego typu zespołów powstało dopiero w ubiegłym roku), natomiast w pozostałych krajach nie ma podobnych jednostek. Jakkolwiek, w tym zakresie sytuacja ma poprawić się
o tyle, że w najbliższych dwóch latach planowane jest utworzenie kolejnych 10 CERTów rządowych.

Jednak to, co jest najbardziej niepokojące, to powszechna niechęć niektórych organizacji do ujawniania informacji o naruszeniach bezpieczeństwa w ich sieci. ENISA dostrzega ogromny problem w braku zgłaszania
wielu istotnych przypadków naruszeń bezpieczeństwa w Internecie (w tym różnego typu ataków oraz kradzieży lub przecieku danych osobowych) do zespołów reagowania typu CERT, zajmujących się zbieraniem takich informacji, analizą skali zagrożenia oraz wdrażaniem odpowiednich środków interwencyjnych. Problem ten dotyczy w szczególności sektora bankowości, ale także małych i średnich przedsiębiorstw.

Zeszłoroczny cyber-atak DDoS na Estonię, który w kwietniu 2007 roku na 2 tygodnie sparaliżował estońskie serwisy informacyjne, rządowe i finansowe a także główny serwer DNS, wskazuje na bezwzględną konieczność poważniejszego potraktowania problemu. Stąd normą powinno stać się zgłaszanie wszelkich niepokojących zjawisk dotyczących naruszania bezpieczeństwa natychmiast po ich zaistnieniu. Tylko takie postępowanie może pozwolić na ocenę faktycznego stanu bezpieczeństwa w Internecie i odpowiednio wczesne wdrożenie zaawansowanych środków zapobiegawczych, które pozwoliłby uchronić funkcjonowanie strategicznych części infrastruktury sieci przed poważniejszymi zakłóceniami.

ENISA widzi rozwiązanie tych problemów w działaniach na poziomie globalnym, europejskim. Zdaniem organizacji ENISA dotychczasowe podejście do zgłaszania przypadków naruszeń bezpieczeństwa mogą zmienić przede wszystkim odpowiednie regulacje wprowadzone przez Unię Europejską, nakładające powszechny obowiązek dostarczania pełnych i rzetelnych informacji na temat zaistniałych incydentów przez wszystkie firmy i organizacje w krajach członkowskich Unii.

Nadmieńmy, że zespół CERT Polska (funkcjonujący w strukturach NASK), powołany do reagowania na zdarzenia naruszające bezpieczeństwo „polskiej części” sieci Internet, działa od 1996 roku i obsługuje ponad 2 tys. zgłoszeń rocznie.
CERT Polska aktywnie współpracuje z organizacją ENISA, powołaną w 2004 roku w celu nadzorowania poziomu bezpieczeństwa sieciowej infrastruktury Unii Europejskiej. Polski CERT rządowy (CERT GOV PL) został powołany w lutym 2008 roku.

Europejska Agencja Bezpieczeństwa Sieci i Informacji (ENISA) rozpoczyna pracę nad systemami dostępu do informacji dotyczącej bezpieczeństwa oraz systemami ostrzegania przed zagrożeniami w sieci. Niebawem powstanie grupa robocza, która zajmie się tymi zagadnieniami.
ENISA ma za zadanie dokonać analizy możliwości stworzenia europejskiego systemu zajmującego się wspomnianymi zagadnieniami (EISAS – European information sharing and alert system).

Do tej pory dokonano wstępnego rozpoznania tego typu systemów w Europie (wśród analizowanych systemów jest również system ARAKIS, stworzony przez CERT Polska, który niebawem będzie miał premierę najnowszej wersji).

Obecnie agencja koncentruje się na dwóch zagadnieniach. Pierwsze z nich to uzupełnienie informacji o systemach ostrzegania, w szczególności przeznaczonych dla odbiorców indywidualnych i tzw. “małych i średnich przedsiębiorstw”. Drugie zaś to zorganizowanie grupy roboczej EISAS, która zajmie się dalszymi pracami. Do zadań grupy roboczej będzie należało:

- przeprowadzenie analizy dotychczasowej inwentaryzacji systemów,

- przedstawienie propozycji dalszego rozwoju EISAS,

- ocena wartości dodanej istnienia tego typu systemu.

Osoby zainteresowane pracą w tejże grupie proszone są o kontakt z – oficerem łącznikowym ENISA w Polsce. Data końcowa nadsyłania propozycji – 15 grudnia 2006 r.

Polski serwis informacyjny o ENISA: www.enisa.pl

ENISA opublikowała kolejny numer swojego kwartalnika. Jak zwykle można w nim znaleźć wiele artykułów i opracowań przygotowanych zarówno przez pracowników Agencji jak i współpracujących z nią ekspertów. Wśród zamieszonych opracowań warto zwrócić uwagę na kilka interesujących pozycji.
Oliver Paridaenes pisze na temat metod zarządzania krytycznymi dla posiadanego systemu słabościami systemowymi. Przedstawiciele laboratorium systemów rozproszonych FORTH-ICS opisują swoje wyniki badań nad zjawiskiem DDoS, w szczególności w odniesieniu do sieci Gnutella. Marcus Bautsch w swoim artykule przywołuje i rozważa znaną metaforę porównującą bezpieczne zachowanie w sieci do bezpiecznego poruszania się po drodze i na tej bazie proponuje 10 podstawowych zasad bezpieczeństwa dla użytkowników Internetu. Mamy okazję również zapoznać się z drugą częścią konkluzji wynikających z badań nad systemami przeciwdziałania zjawisku spamu.

Dodatkowo w biuletynie ENISA można znaleźć sprawozdania z wydarzeń, w których organizację ENISA jest zaangażowana, takich jak zakończona niedawno kolejna edycja konferencji ISSE, warsztaty ENISA poświęcone zarządzaniu ryzykiem, akcjom uświadamiającym czy działaniu CERTów.

Dla osób interesujących się strategicznymi zagadnieniami z obszaru bezpieczeństwa IT można polecić artykuły Kristiny Pietikainen (reprezentantki obecnej prezydencji fińskiej w UE i Finlandii w Radzie Zarządzającej ENISA) i Martin Schallbruch z Niemiec, który pisze o strategii związanej z oprogramowaniem open source w niemieckiej administracji publicznej.

Chętnych do zapoznania się ze wszystkimi artykułami, w tym również niewymienionymi w tej informacji, odsyłamy do treści kwartalnika

ENISA Quarterly No.3, Oct 2006- http://www.enisa.europa.eu/doc/pdf/publications/enisa_quarterly_10_06.pdf

18 listopada w Atenach odbędą się warsztaty organizowane przez ENISA, które dotyczyć będą zagadnień certyfikacji. Tytuł warsztatów brzmi – “Co możemy osiągnąć poprzez certyfikację w bezpieczeństwie?”. Warsztaty skierowane są do wszystkich zainteresowanych tym tematem, a w szczególności do ekspertów z zakresu certyfikacji produktów (np: Common Criteria), specjalistów (np: CISA, CISSP) lub procesów (np: ISO/IEC 17799).
Organizatorzy, oprócz zapraszania na warsztaty, zachęcają również do zgłaszania swoich propozycji referatów. Swoją opinię można również wyrazić poprzez wypełnienie przygotowanego przez ENISA kwestionariusza dotyczącego zagadnień certyfikacji w bezpieczeństwie teleinformatycznym.

Więcej informacji: http://www.enisa.europa.eu/pages/certifications/

Więcej o ENISA – Polski serwis o ENISA