CERT Polska wprowadza platformę n6

Data publikacji: 21/02/2012, piotrk

Jeżeli jesteś właścicielem, administratorem lub operatorem sieci i chciałbyś być na bieżąco informowany o zagrożeniach w Twojej sieci ta wiadomość jest dla Ciebie.

n6 to zbudowana w całości przez CERT Polska platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Nazwa n6 to zmodyfikowany akronim pełnej nazwy platformy Network Security Incident eXchange. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom sieci, administratorom i operatorom sieci.

Źródłem danych systemu n6 jest wiele kanałów dystrybucyjnych dostarczających informacje o zdarzeniach bezpieczeństwa. Zdarzenia te wykrywane są w wyniku działań systemów wykorzystywanych przez różne podmioty zewnętrzne (takie jak inne CERTy, organizacje bezpieczeństwa, producentów oprogramowania, niezależnych ekspertów od bezpieczeństwa itp.) oraz systemów monitorowania obsługiwanych przez CERT Polska. Większość informacji aktualizowanych jest codziennie, niektóre częściej.

Dodatkowym źródłem informacji o sieciach klienta mogą być wyniki działań operacyjnych CERT Polska. Dotyczy to również działań operacyjnych innych podmiotów – dane otrzymane jednorazowo z zewnątrz, za zgodą źródła mogą być dodawane do systemu w celu redystrybucji.

n6 można porównać do sortowni incydentów, którego sercem jest silnik n6 (n6 engine). Dzięki rozbudowanemu systemowi tagowania, incydenty mogą być przypisywane do konkretnych podmiotów, których dotyczą – np. na podstawie adresów IP i numerów AS. Dane są agregowane w skrojoną na miarę, specjalnie przygotowaną paczkę, która zachowuje oryginalny format źródła (każde źródło w oddzielnym pliku). Dodatkowo istnieje możliwość dostarczania innych informacji, takich jak np. dane o serwerach C&C nie znajdujących się w sieci klienta, ale które mogą zostać przez niego wykorzystane do wykrywania u siebie zainfekowanych komputerów.

W platformie przekazywane są informacje o źródłach ataku w postaci URLi, domen, adresów IP lub nazw złośliwego oprogramowania, a także w zależności od dostępności informacje o danych specjalnych.

Uwaga: ponieważ większość danych pochodzi z systemów zewnętrznych, CERT Polska nie odpowiada za ich jakość, ani nie ponosi odpowiedzialności za sposób ich wykorzystania przez podmiot odbierający. Dane są przekazywane w postaci surowej i nie przetworzonej, i mogą zawierać fałszywe alarmy. Weryfikacja danych zależy od odbiorcy. Dane dystrybuowane są za zgodą podmiotów, które wykryły zdarzenie. Nie ujawniamy klientom źródła, chyba, że źródło wyrazi na to zgodę.

Przykładowe zbiory danych znajdujące się w platformie n6:

    • złośliwe URLe
    • złośliwe oprogramowanie i inne artefakty
    • zainfekowane hosty (boty)
    • serwery C&C
    • skanowania
    • DDoS
    • ataki bruteforce
    • uczestnictwo w sieci fast flux
    • phishing
    • spam
    • dane specjalne (w wyniku działań operacyjnych CERT

Kto może uzyskać dostęp do systemu?

Do systemu dostęp może uzyskać tylko właściciel, operator, administrator sieci. Musi posiadać swój system autonomiczny (AS) lub podsieć, którą administruje.

Jak uzyskać dostęp do informacji o zagrożeniach wykrytych w Twojej sieci?

Aby uzyskać dostęp do informacji o zagrożeniech wykrytych w swoich sieciach należy wysłać wysłać maila na adres [email protected] z tytułem „wyrażam zainteresowanie przystąpieniem do n6”. Dostęp do informacji jest całkowicie bezpłatny i nie wiąże się z instalacją jakiegokolwiek dodatkowego oprogramowania (wystarczy przeglądarka) lub urządzeń. Po weryfikacji nadawcy, przekazane zostaną dalsze instrukcje związane z uzyskaniem dostępu do platformy.

CERT Polska zastrzega sobie prawo do odmowy przekazania dostępu do platformy.