Wat?
CERT Computer Emergency Response Team CSIRT : Computer Security Incident Response Team = De Belgische nationale CERT 3
Onze Missie De missie van het bestaat erin om IT infrastructuur van Belgische hoofdspelers, kritieke infrastructuur en Belgische groot publiek te verdedigen door: Te informeren over computer incidenten, Ondersteuning te geven in het behandelen van incidenten, Het coördineren van grootschalige incidenten, Helpen bij het opzetten van CSIRT activiteiten, Delen van gegevens en kennis 4
Onze Rol (Reactief) Behandelen van computer en netwerk incidenten (Proactief) Informatie publiceren over IT security Bewustwording creëren Delen van kennis en informatie 5
Reactieve Diensten
Incident Behandeling Incident Analyse Bedreiging evalueren Rapport publiceren Incident Response ondersteuning 7
Incident Behandeling Incident Response Coördinatie: vb. DNS.be 8
Alarmen en Waarschuwingen https://www.cert.be/ RSS Feed voor security advisories 9
Problemen voor een CERT Overvloed aan bronnen Abusix, Clean-MX, Shadowserver, Dshield,... Old school aanpak 1-on-1, overtolligheid, niet doeltreffend Waardevolle middelen en informatie gaan verloren Manueel filtreren, moeilijke opvolging, warboel van ticketten 10
Conclusie van het CERT We moeten automatiseren! We moeten de communicatie kanalen aanpassen! We moeten samenwerken CERTs Doelpubliek ISPs 11
AbuseHelper Generieke open source framework Schaalbaar systeem met chatrooms en bots Flexiebele input and output Automatische incident rapportering Http://www.abusehelper.be 12
Proactieve Diensten 13
Mededelingen 14
Technology Watch Standaard activiteiten: Monitoring web sites Mailing lists Op de hoogte blijven van nieuwe technologiën Verschillende publicaties : Artikels Advisories etc... 15
Verspreiding van informatie over security 16
Opleiding / Trainings Opzetten van een CSIRT 17
Bewustwording creëren Conferenties Workshops 18
Wie?
Wie zit achter het Geopereerd door BELNET, het Belgisch nationaal onderzoeksnetwerk Gefinancieerd door FEDICT In coördinatie met BIPT In samenwerking met FCCU 20
Wie zit achter het Coördinator Ad Interim: Christian Van Heurck Security Analysts: Koen Van Impe Jérôme Devigne David Durvaux Yorkvik Jacqmin Jacqueline Dulmaine Belnet team: Ondersteuning (technisch, juridisch, communicatie,...) 21
Fasering
Geen big bang, maar een project in fases Fase 1 Start September 2009. Prioriteiten: Kritieke infrastructuur Fase 2 Start: January 2010 Uitbreiding naar het grote publiek 23
volgende phases Fase 3 Start: July, 2011 Uitbreiding openingsuren Fase 4 Start: July, 2012 Meer services 24
Wat gaat er veranderen?
Verandering aan uw zijde U blijft verantwoordelijke voor uw netwerk en systemen Maar: We zijn een neutrale bron van informatie Ondersteuning in geval van incidenten We antwoorden op uw vragen 26
Rapporteren van incidenten is belangrijk! U bent misschien niet de enige onder aanval Anderen hebben misschien al een oplossing gevonden Uw oplossing kan anderen helpen als centraal contactpunt maakt het delen van zulke informatie mogelijk 27
Rapportering van incidenten email: cert@cert.be Web formulier: https://www.cert.be/pro/report-incident Telefoon: +32 2 790 33 85 28
my Hoe kunnen wij u contacteren? normale Ernstige incidenten grote incidenten Hoe kunnen wij u helpen? Feeds, Dashboard, Mails, chat,? AbuseHelper FCCU Welke informatie kunnen we delen? Gegevens Legaal Kennis ISAC 29
ISAC Information Sharing and Analysis Centre Plaats waar mensen met dezelfde interesses / achtergrond informatie en kennis kunnen delen, zelfs gevoelige info. Hoofd activiteit : meetings met presentatie en debat, drie keer per jaar Onderhevig aan een klein aantal regels Logistiek en secretariaat wordt verzorgd door de medewerkers van 30
Traffic Light Protocol Het 'Traffic Light Protocol' of kortweg TLP (wat als 'verkeerslicht protocol' zou kunnen vertaald worden) is ontworpen om het uitwisselen van informatie te controleren en aan te moedigen. RED Informatie RED (rood) is beperkt tot mensen aanwezig op een vergadering, of tot een directe ontvanger van gelijk welk vorm van mail (elektronisch of niet) die deze informatie bevat. AMBER AMBER (oranje) informatie kan intern worden verspreidt binnen de organisatie van de ontvanger op een 'need-to-know' basis. De afzender heeft het recht om de limieten van deze verspreiding te bepalen. GREEN GREEN informatie (groen) mag op grote schaal verspreid worden binnen een gemeenschap. Het is echter niet toegestaan om het ze op het Internet te publiceren of verder te verspreiden buiten de gemeenschap. WHITE WHITE (wit) Er staat geen beperking op het verspreiden van deze informatie let op: wel binnen de grenzen van de wet (denk b.v. aan auteursrechten). 31
Dank U wel! Vragen? cert@cert.be https://www.cert.be/