Kybernetická ochrana počítačových sítí, provozovaných služeb a uživatelů je v současné době zajišťována převážně samostatně jednotlivými subjekty, které provádějí detekci bezpečnostních událostí s dopadem na provozovanou infrastrukturu a na základě výsledků přijímají protiopatření. Informace o zjištěných bezpečnostních událostech, incidentech a útocích jsou mezi provozovateli sítí a služeb a mezi bezpečnostními týmy sdíleny jen v omezené míře a nejsou tak plně vytěžovány pro ochranu infrastruktury jako celku.
Hlavním cílem projektu je proto vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v ČR s cílem predikovat další možný vývoj útoku a s cílem omezit dopad tohoto útoku na národní kyberprostor. Systém umožní včasnou výměnu informací o zjištěných bezpečnostních událostech mezi zapojenými organizacemi včetně národního a vládního bezpečnostního týmu ČR. Systém bude analyzovat a poskytovat cenné informace o aktuálně se šířících hrozbách. Zjištěné informace budou pomocí systému předávány zapojeným organizacím za účelem přípravy jejich obrany na příchozí hrozbu. Výsledky budou rovněž využity pro sledování trendů hrozeb v národním kyberprostoru, což může být využito ke zdokonalování kyberbezpečnostního systému ČR. Vzhledem k předávání citlivých informací mezi různými subjekty budou řešeny i právní aspekty sdílení a použití informací s ohledem na zachování soukromí.
V projektu budou zkoumány možnosti korelace různých typů bezpečnostních událostí pocházejících z národního kyberprostoru. Dále budou prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informací pro podporu odvrácení hrozícího útoku.
Plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků (od různých výrobců) generujících tyto události. Z tohoto důvodu bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (např. Honeypoty, systémy behaviorální analýzy, logy) a také tzv. systémy třetích stran (např. N6, ShadowServer, UCEPROTECT).
Inteligentní analýza bezpečnostních událostí. Za účelem odvození agregované a korelované informace z velkého množství bezpečnostních událostí budou zkoumány metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech. Budou vyvinuty nástroje umožňující odhalovat sekvence sémanticky navazujících událostí.
Využití výsledků inteligentní analýzy pro zvýšení ochrany. Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (např. firewall, IPS, filtry). To umožní distribuci výsledků analýz a jejich využití k ochraně infrastruktury.
Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí. Za účelem zjišťování nových hrozeb, ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu na volitelné úrovni detailu dovolující hlubší náhled do podstaty hrozeb.
Podpora filtrace a možnost (částečné) anonymizace sdílených dat. Tento dílčí cíl prostupuje průřezově všemi ostatními a jeho cílem je zajistit vysokou kvalitu dat a zachovat citlivé údaje pod kontrolou zapojených organizací.
Identifikace právních aspektů sdílení událostí. Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší, za účelem analýzy potenciálně problematických postupů a procesů z pohledu práva a návrh metodických postupů při využívání stávajících a vyvíjených technologií.
Při řešení projektu SABU stavíme a využíváme systémy Warden a Mentat, které byly vyvinuty v rámci plnění projektu Velká infrastruktura CESNET a v současné době jsou provozovány pro účely zajištění bezpečnosti a výměnu informací v rámci e-Infrastruktury CESNET bezpečnostním týmem CESNET-CERTS.