Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała przygotowany przez CERT Polska raport dotyczący metod wykrywania sieciowych incydentów bezpieczeństwa – „Proactive detection of network security incidents”.

Proaktywne wykrywanie incydentów to proces odnajdywania złośliwej aktywności w sieci, za którą dany CERT jest odpowiedzialny, przy pomocy narzędzi monitorujących lub z wykorzystaniem zewnętrznych usług dostarczających informacje o wykrytych incydentach, jeszcze zanim właściciele atakowanych sieci staną się tego świadomi. Zwiększenie efektywności tych działań jest fundamentem dla prężnego funkcjonowania zespołów CERT i zwiększenia ich możliwości obsługi incydentów.

Opublikowany dokument to wnikliwa analiza sposobów w jaki CERTy, w szczególności narodowe i rządowe, wykrywają incydenty w swoich obszarach działalności. Raport zawiera również zestaw najlepszych praktyk i użytecznych narzędzi dla nowo powstałych zespołów typu CERT, analizę problemów jakim muszą stawić czoła i zestaw rekomendacji dla usprawnienia obsługi incydentów przez zespoły CERT.

Istotnym w tym opracowaniu jest fakt, że w jego powstanie zaangażowani byli praktycy głównie z europejskich zespołów CERT i uznani eksperci z dziedziny bezpieczeństwa. Raport opiera się na gruntownym badaniu ankietowym przeprowadzonym pośród 45 zespołów CERT oraz toczącej się przez cały czas tworzenia dokumentu dyskusji ekspertów. Ich znaczny wkład, obok doświadczenia i pracy autorów pozwolił na stworzenie wyczerpującej publikacji o obsłudze incydentów przez zespoły CERT.

W raporcie można znaleźć oceny i opisy zewnętrznych źródeł informacji o incydentach oraz wewnętrznych narzędzi monitorujących, z których CERTy mogą korzystać aby zwiększyć swoje możliwości detekcji incydentów bezpieczeństwa w codziennej działalności.

Podczas zbierania materiału do raportu zostało zidentyfikowanych i przeanalizowanych 16 poważnych przeszkód w procesie wykrywania incydentów dotyczących zarówno kwestii technicznych, jak i prawno-organizacyjnych. Pośród przeszkód technicznych najczęściej wymieniane były słaba jakość danych, brak automatyzacji w ich przetwarzaniu i korelacji. W kwestiach prawnych problemem częstym są regulacje dotyczące prywatności i ochrony danych osobowych, które uniemożliwiają wymianę danych. Dla każdego ze zidentyfikowanych problemów zaproponowany został szereg potencjalnych rozwiązań i rekomendacji dla podmiotów dostarczających dane o incydentach, dla ich odbiorców i dla organizacji europejskich lub krajowych.

Wykres 1: Opinie zespołów CERT na temat źródeł informacji o incydentach.

Wykres 2: Opinie zespołów CERT na temat obszarów do poprawy w funkcjonowaniu źródeł informacji o zagrożeniach oraz przetwarzaniu tych informacji przez CERTy.

Zapraszamy do zapoznania się z pełnym opracowaniem z nadzieją, że wyniki opublikowanego raportu pomogą zarówno nowopowstałym, jak i już istniejącym, zespołom CERT znaleźć i skorzystać z wcześniej nieużywanych, a wartych uwagi źródeł informacji, a także rozważyć wykorzystanie dodatkowych narzędzi w swojej organizacji. Usprawnienie proaktywnego wykrywania i przetwarzania danych o incydentach, wpływa na sprawność funkcjonowania nie tylko pojedynczego CERTu, ale również wszystkich, których dane te dotyczą. To z kolei pozwala zacieśniać współpracę i wymianę informacji pomiędzy zespołami CERT, które dużo szybciej są w stanie reagować i rozwiązywać problemy zwiększając bezpieczeństwo Internetu.

Po pełną informację odsyłamy do raportu na stronie:

http://www.enisa.europa.eu/act/cert/support/proactive-detection

oraz do wyników badania przeprowadzonego wśród zespołów CERT:

http://www.enisa.europa.eu/act/cert/support/proactive-detection/survey-analysis