CERT.be Brussels 2011

Transcriptie

1

2 Wat?

3 CERT Computer Emergency Response Team CSIRT : Computer Security Incident Response Team = De Belgische nationale CERT 3

4 Onze Missie De missie van het bestaat erin om IT infrastructuur van Belgische hoofdspelers, kritieke infrastructuur en Belgische groot publiek te verdedigen door: Te informeren over computer incidenten, Ondersteuning te geven in het behandelen van incidenten, Het coördineren van grootschalige incidenten, Helpen bij het opzetten van CSIRT activiteiten, Delen van gegevens en kennis 4

5 Onze Rol (Reactief) Behandelen van computer en netwerk incidenten (Proactief) Informatie publiceren over IT security Bewustwording creëren Delen van kennis en informatie 5

6 Reactieve Diensten

7 Incident Behandeling Incident Analyse Bedreiging evalueren Rapport publiceren Incident Response ondersteuning 7

8 Incident Behandeling Incident Response Coördinatie: vb. DNS.be 8

9 Alarmen en Waarschuwingen RSS Feed voor security advisories 9

10 Problemen voor een CERT Overvloed aan bronnen Abusix, Clean-MX, Shadowserver, Dshield,... Old school aanpak 1-on-1, overtolligheid, niet doeltreffend Waardevolle middelen en informatie gaan verloren Manueel filtreren, moeilijke opvolging, warboel van ticketten 10

11 Conclusie van het CERT We moeten automatiseren! We moeten de communicatie kanalen aanpassen! We moeten samenwerken CERTs Doelpubliek ISPs 11

12 AbuseHelper Generieke open source framework Schaalbaar systeem met chatrooms en bots Flexiebele input and output Automatische incident rapportering 12

13 Proactieve Diensten 13

14 Mededelingen 14

15 Technology Watch Standaard activiteiten: Monitoring web sites Mailing lists Op de hoogte blijven van nieuwe technologiën Verschillende publicaties : Artikels Advisories etc... 15

16 Verspreiding van informatie over security 16

17 Opleiding / Trainings Opzetten van een CSIRT 17

18 Bewustwording creëren Conferenties Workshops 18

19 Wie?

20 Wie zit achter het Geopereerd door BELNET, het Belgisch nationaal onderzoeksnetwerk Gefinancieerd door FEDICT In coördinatie met BIPT In samenwerking met FCCU 20

21 Wie zit achter het Coördinator Ad Interim: Christian Van Heurck Security Analysts: Koen Van Impe Jérôme Devigne David Durvaux Yorkvik Jacqmin Jacqueline Dulmaine Belnet team: Ondersteuning (technisch, juridisch, communicatie,...) 21

22 Fasering

23 Geen big bang, maar een project in fases Fase 1 Start September Prioriteiten: Kritieke infrastructuur Fase 2 Start: January 2010 Uitbreiding naar het grote publiek 23

24 volgende phases Fase 3 Start: July, 2011 Uitbreiding openingsuren Fase 4 Start: July, 2012 Meer services 24

25 Wat gaat er veranderen?

26 Verandering aan uw zijde U blijft verantwoordelijke voor uw netwerk en systemen Maar: We zijn een neutrale bron van informatie Ondersteuning in geval van incidenten We antwoorden op uw vragen 26

27 Rapporteren van incidenten is belangrijk! U bent misschien niet de enige onder aanval Anderen hebben misschien al een oplossing gevonden Uw oplossing kan anderen helpen als centraal contactpunt maakt het delen van zulke informatie mogelijk 27

28 Rapportering van incidenten Web formulier: Telefoon:

29 my Hoe kunnen wij u contacteren? normale Ernstige incidenten grote incidenten Hoe kunnen wij u helpen? Feeds, Dashboard, Mails, chat,? AbuseHelper FCCU Welke informatie kunnen we delen? Gegevens Legaal Kennis ISAC 29

30 ISAC Information Sharing and Analysis Centre Plaats waar mensen met dezelfde interesses / achtergrond informatie en kennis kunnen delen, zelfs gevoelige info. Hoofd activiteit : meetings met presentatie en debat, drie keer per jaar Onderhevig aan een klein aantal regels Logistiek en secretariaat wordt verzorgd door de medewerkers van 30

31 Traffic Light Protocol Het 'Traffic Light Protocol' of kortweg TLP (wat als 'verkeerslicht protocol' zou kunnen vertaald worden) is ontworpen om het uitwisselen van informatie te controleren en aan te moedigen. RED Informatie RED (rood) is beperkt tot mensen aanwezig op een vergadering, of tot een directe ontvanger van gelijk welk vorm van mail (elektronisch of niet) die deze informatie bevat. AMBER AMBER (oranje) informatie kan intern worden verspreidt binnen de organisatie van de ontvanger op een 'need-to-know' basis. De afzender heeft het recht om de limieten van deze verspreiding te bepalen. GREEN GREEN informatie (groen) mag op grote schaal verspreid worden binnen een gemeenschap. Het is echter niet toegestaan om het ze op het Internet te publiceren of verder te verspreiden buiten de gemeenschap. WHITE WHITE (wit) Er staat geen beperking op het verspreiden van deze informatie let op: wel binnen de grenzen van de wet (denk b.v. aan auteursrechten). 31

32 Dank U wel! Vragen? [email protected]