====== Projekt SABU ====== === Motivace === Kybernetická ochrana počítačových sítí, provozovaných služeb a uživatelů je v současné době zajišťována převážně samostatně jednotlivými subjekty, které provádějí detekci bezpečnostních událostí s dopadem na provozovanou infrastrukturu a na základě výsledků přijímají protiopatření. Informace o zjištěných bezpečnostních událostech, incidentech a útocích jsou mezi provozovateli sítí a služeb a mezi bezpečnostními týmy sdíleny jen v omezené míře a nejsou tak plně vytěžovány pro ochranu infrastruktury jako celku. === Vize === Hlavním cílem projektu je proto vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v ČR s cílem predikovat další možný vývoj útoku a s cílem omezit dopad tohoto útoku na národní kyberprostor. Systém umožní včasnou výměnu informací o zjištěných bezpečnostních událostech mezi zapojenými organizacemi včetně národního a vládního bezpečnostního týmu ČR. Systém bude analyzovat a poskytovat cenné informace o aktuálně se šířících hrozbách. Zjištěné informace budou pomocí systému předávány zapojeným organizacím za účelem přípravy jejich obrany na příchozí hrozbu. Výsledky budou rovněž využity pro sledování trendů hrozeb v národním kyberprostoru, což může být využito ke zdokonalování kyberbezpečnostního systému ČR. Vzhledem k předávání citlivých informací mezi různými subjekty budou řešeny i právní aspekty sdílení a použití informací s ohledem na zachování soukromí. V projektu budou zkoumány možnosti korelace různých typů bezpečnostních událostí pocházejících z národního kyberprostoru. Dále budou prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informací pro podporu odvrácení hrozícího útoku. === Cíle projektu: === * **Plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků** (od různých výrobců) generujících tyto události. Z tohoto důvodu bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (např. Honeypoty, systémy behaviorální analýzy, logy) a také tzv. //systémy třetích stran// (např. N6, ShadowServer, UCEPROTECT). * **Inteligentní analýza bezpečnostních událostí.** Za účelem odvození agregované a korelované informace z velkého množství bezpečnostních událostí budou zkoumány metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech. Budou vyvinuty nástroje umožňující odhalovat sekvence sémanticky navazujících událostí. * **Využití výsledků inteligentní analýzy pro zvýšení ochrany.** Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (např. firewall, IPS, filtry). To umožní distribuci výsledků analýz a jejich využití k ochraně infrastruktury. * **Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí.** Za účelem zjišťování nových hrozeb, ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu na volitelné úrovni detailu dovolující hlubší náhled do podstaty hrozeb. * **Podpora filtrace a možnost (částečné) anonymizace sdílených dat.** Tento dílčí cíl prostupuje průřezově všemi ostatními a jeho cílem je zajistit vysokou kvalitu dat a zachovat citlivé údaje pod kontrolou zapojených organizací. * **Identifikace právních aspektů sdílení událostí**. Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší, za účelem analýzy potenciálně problematických postupů a procesů z pohledu práva a návrh metodických postupů při využívání stávajících a vyvíjených technologií. Při řešení projektu SABU stavíme a využíváme systémy [[https://warden.cesnet.cz|Warden]] a [[https://mentat.cesnet.cz|Mentat]], které byly vyvinuty v rámci plnění projektu [[https://www.cesnet.cz/projekty/velka-infrastruktura-cesnet/|Velká infrastruktura CESNET]] a v současné době jsou provozovány pro účely zajištění bezpečnosti a výměnu informací v rámci e-Infrastruktury CESNET bezpečnostním týmem [[https://csirt.cesnet.cz/|CESNET-CERTS]]. ===== Roadmapa projektu SABU ===== ==== 2019 ==== || Q2 2019 || Produkční nasazení SABU v ČR i zahraničí || || Q1 2019 || Testování a optimalizace parametrů, vydání balíků || ==== 2018 ==== || Q1-4 2018 || Implementace mitigačních konektorů pro systémy partnerů || || Q1-4 2018 || Implementace dohledávání pokročilých detailů || || Q1-4 2018 || Implementace pokročilé inteligentní analýzy včetně reputace || ==== 2017 ==== || Q4 2017 || Nasazení SABU u partnerů || || Q1-4 2017 || Implementace konektorů na další běžně nasazené systémy || || Q1-4 2017 || Implementace dohledávání detailů || || Q1-4 2017 || Implementace inteligentní analýzy || ==== 2016 ==== || Q4 2016 || Příprava konektorů pro partnery projektu || || Q3 2016 || Zhodnocení testovacího provozu || || Q2 2016 || Zapojení partnerů projektu formou mailového reportingu || || Q1 2016 || První schůzka s partnery SABU || ==== 2015 ==== || Q2 2015 || Kladné rozhodnutí o přijetí projektu SABU (8. června) || || Q1 2015 || Spuštění systému Warden 3, vydání balíčků Warden 3.0 || || Q1 2015 || Podání projektu SABU do [[http://www.mvcr.cz/clanek/program-bv-iii-1-vs-program-bezpecnostniho-vyzkumu-ceske-republiky-2015-2020.aspx|Programu bezpečnostního výzkumu MV ČR]] || ==== 2014 ==== || Q4 2014 || Příprava projektu SABU do výzvy [[http://www.mvcr.cz/clanek/program-bv-iii-1-vs-program-bezpecnostniho-vyzkumu-ceske-republiky-2015-2020.aspx|Programu bezpečnostního výzkumu MV ČR]] || || Q4 2014 || Vydání balíčků Warden 2.2 || || Q3 2014 || Vytvoření flexibilního datového [[https://csirt.cesnet.cz/IDEA|formátu IDEA]] || ==== 2013 ==== || Q4 2013 || Vydání balíčků Warden 2.1 || || Q3 2013 || Vydání balíčků Warden 2.0 || ==== 2012 ==== || Q1 2012 || Vydání balíčků Warden 1.2.0 || || Q1 2012 || Vydání balíčků Warden 1.1.0 || || Q1 2012 || Vydání testovacího balíčku Warden 0.1.0 beta || ==== 2011 ==== || Q3 2011 || Začátek projektu [[https://warden.cesnet.cz|Warden]] ||