cs:about_project

Projekt SABU

Motivace

Kybernetická ochrana počítačových sítí, provozovaných služeb a uživatelů je v současné době zajišťována převážně samostatně jednotlivými subjekty, které provádějí detekci bezpečnostních událostí s dopadem na provozovanou infrastrukturu a na základě výsledků přijímají protiopatření. Informace o zjištěných bezpečnostních událostech, incidentech a útocích jsou mezi provozovateli sítí a služeb a mezi bezpečnostními týmy sdíleny jen v omezené míře a nejsou tak plně vytěžovány pro ochranu infrastruktury jako celku.

Vize

Hlavním cílem projektu je proto vyvinout a nasadit pilotní systém pro efektivní předávání a analýzu zjištěných bezpečnostních událostí mezi bezpečnostními týmy v ČR s cílem predikovat další možný vývoj útoku a s cílem omezit dopad tohoto útoku na národní kyberprostor. Systém umožní včasnou výměnu informací o zjištěných bezpečnostních událostech mezi zapojenými organizacemi včetně národního a vládního bezpečnostního týmu ČR. Systém bude analyzovat a poskytovat cenné informace o aktuálně se šířících hrozbách. Zjištěné informace budou pomocí systému předávány zapojeným organizacím za účelem přípravy jejich obrany na příchozí hrozbu. Výsledky budou rovněž využity pro sledování trendů hrozeb v národním kyberprostoru, což může být využito ke zdokonalování kyberbezpečnostního systému ČR. Vzhledem k předávání citlivých informací mezi různými subjekty budou řešeny i právní aspekty sdílení a použití informací s ohledem na zachování soukromí.

V projektu budou zkoumány možnosti korelace různých typů bezpečnostních událostí pocházejících z národního kyberprostoru. Dále budou prováděny korelace s primárními daty získanými ze sítě CESNET2 (pakety, toky, logy) za účelem verifikace událostí, obohacení dolovaných dat a kalibrace systému. Bude navržen a pilotně nasazen způsob integrace získaných informací pro podporu odvrácení hrozícího útoku.

Cíle projektu:

  • Plošné rozšíření sběru a sdílení bezpečnostních událostí z široké palety bezpečnostních prvků (od různých výrobců) generujících tyto události. Z tohoto důvodu bude navržena a implementována knihovna umožňující jednoduše napojit různorodé systémy (např. Honeypoty, systémy behaviorální analýzy, logy) a také tzv. systémy třetích stran (např. N6, ShadowServer, UCEPROTECT).
  • Inteligentní analýza bezpečnostních událostí. Za účelem odvození agregované a korelované informace z velkého množství bezpečnostních událostí budou zkoumány metody pro korelaci různých typů bezpečnostních hlášení, metody pro korelaci událostí v místě a čase, metody pro určení důvěryhodnosti hlášených událostí a důvěryhodnosti samotných entit hlášených v událostech. Budou vyvinuty nástroje umožňující odhalovat sekvence sémanticky navazujících událostí.
  • Využití výsledků inteligentní analýzy pro zvýšení ochrany. Pro zvýšení ochrany zapojených organizací před útoky budou v rámci projektu vyvinuta napojení na vybrané prvky zajišťující ochranu v sítích (např. firewall, IPS, filtry). To umožní distribuci výsledků analýz a jejich využití k ochraně infrastruktury.
  • Obohacování dolovaných dat a rozšiřování detekčních schopností producentů událostí. Za účelem zjišťování nových hrozeb, ověřování a analýzy stávajících hrozeb budou dále zkoumány a rozvíjeny nástroje pro selektivní sběr a analýzu dat o síťovém provozu na volitelné úrovni detailu dovolující hlubší náhled do podstaty hrozeb.
  • Podpora filtrace a možnost (částečné) anonymizace sdílených dat. Tento dílčí cíl prostupuje průřezově všemi ostatními a jeho cílem je zajistit vysokou kvalitu dat a zachovat citlivé údaje pod kontrolou zapojených organizací.
  • Identifikace právních aspektů sdílení událostí. Tento dílčí cíl prostupuje všemi oblastmi, které SABU řeší, za účelem analýzy potenciálně problematických postupů a procesů z pohledu práva a návrh metodických postupů při využívání stávajících a vyvíjených technologií.

Při řešení projektu SABU stavíme a využíváme systémy Warden a Mentat, které byly vyvinuty v rámci plnění projektu Velká infrastruktura CESNET a v současné době jsou provozovány pro účely zajištění bezpečnosti a výměnu informací v rámci e-Infrastruktury CESNET bezpečnostním týmem CESNET-CERTS.

Roadmapa projektu SABU

2019

Q2 2019 Produkční nasazení SABU v ČR i zahraničí
Q1 2019 Testování a optimalizace parametrů, vydání balíků

2018

Q1-4 2018 Implementace mitigačních konektorů pro systémy partnerů
Q1-4 2018 Implementace dohledávání pokročilých detailů
Q1-4 2018 Implementace pokročilé inteligentní analýzy včetně reputace

2017

Q4 2017 Nasazení SABU u partnerů
Q1-4 2017 Implementace konektorů na další běžně nasazené systémy
Q1-4 2017 Implementace dohledávání detailů
Q1-4 2017 Implementace inteligentní analýzy

2016

Q4 2016 Příprava konektorů pro partnery projektu
Q3 2016 Zhodnocení testovacího provozu
Q2 2016 Zapojení partnerů projektu formou mailového reportingu
Q1 2016 První schůzka s partnery SABU

2015

Q2 2015 Kladné rozhodnutí o přijetí projektu SABU (8. června)
Q1 2015 Spuštění systému Warden 3, vydání balíčků Warden 3.0
Q1 2015 Podání projektu SABU do Programu bezpečnostního výzkumu MV ČR

2014

Q4 2014 Příprava projektu SABU do výzvy Programu bezpečnostního výzkumu MV ČR
Q4 2014 Vydání balíčků Warden 2.2
Q3 2014 Vytvoření flexibilního datového formátu IDEA

2013

Q4 2013 Vydání balíčků Warden 2.1
Q3 2013 Vydání balíčků Warden 2.0

2012

Q1 2012 Vydání balíčků Warden 1.2.0
Q1 2012 Vydání balíčků Warden 1.1.0
Q1 2012 Vydání testovacího balíčku Warden 0.1.0 beta

2011

Q3 2011 Začátek projektu Warden
Poslední úprava:: 01.07.2016 16:46