Aktuality

Ústav výpočetní techniky uspěl s projektem zřízení CSIRT - CUNI týmu

V souladu se zákonem o kybernetické bezpečnosti 181/2014 Sb., ve znění prováděcích předpisů, z nichž vyplývají povinnosti a pravidla pro nastavení bezpečnostní politiky, připravil ÚVT projekt zřízení bezpečnostního týmu "CSIRT týmu UK". S projektem jsme se ucházeli o spolufinancování z Fondu rozvoje CESNET.

Rada Fondu rozhodla na konci února, že projekt ÚVT podpoří částkou 512.000 Kč.

O projektu

Univerzita Karlova v Praze (dále UK) v současnosti centrálně zpracovává informace o bezpečnostních incidentech, které se týkají všech rozsahů IP adres a domén používaných UK. Incidenty jsou řešeny a evidovány, ale chybí např. formální metodika těchto procesů, prioritizace incidentů a komunikace uvnitř organizace a dále možnost snadného generování přehledů z evidenčního systému a tím zpětného vyhodnocování úspěšnosti řešení incidentů nebo uplatnění expertního náhledu na základě v minulosti již řešených obdobných incidentů. Dále chybí možnost vlastního preventivního průběžného testování běžících systémů z hlediska síťové bezpečnosti.

Sběr informací o uskutečněných datových tocích (flow) je realizován na rozhraní sítí PASNET/CESNET prostřednictvím dvou sond. Data ze sond jsou odesílána na FlowMon kolektor, který umožňuje získané informace analyzovat či zpětně dohledat. Aktuálně je využíván v kombinaci se systémem FTAS  provozovaným sdružením CESNET a primárně slouží k dohledání potřených informací při řešení nahlášených bezpečnostních incidentů.  Dále je využíván automatický report při výraznější změně chování sítě (detekce skokového nárůstu datových toků apod.). Vzhledem k rostoucímu provozu stávající hardware i zastaralost sond došlo koncem roku 2014 k nákupu nové sondy a kolektoru pro sběr a analýzu  FlowMon dat, které by měly umožnit i provozování modulu pro včasnou detekci anomálií v síti. Ten umožní bezpečnostní incidenty proaktivně vyhledávat či jim dokonce předcházet.

Cíl projektu

Zřízení univerzitního týmu pro řešení bezpečnostních incidentů v provozovaných sítích, jenž by kvalitou odpovídal mezinárodním standardům CSIRT. Tím se zvýší bezpečnost provozovaných sítí, a zároveň zlepší, zprůhlední a urychlí způsob komunikace mezi jednotlivými IT pracovišti UK při řešení problémů v síťovém provozu. Zároveň se zlepší informovanost o případných problémech, výpadcích a omezeních provozu, směrem k uživatelské veřejnosti. Součástí bude proaktivní činnost CSIRT týmu, na základě systematické analýzy zachycených dat (prostřednictvím tiketovacího systému) vznikne kvalifikace incidentů, díky které bude možné incidentům předcházet. Působnost CSIRT týmu je ukotvena ve Strategickém dokumentu – metodice a také v manuálu krizové komunikace.

Přínosy projektu

Kromě průběžného zpracování incidentů je důležitá také proaktivní činnost CSIRTu na základě systematické a pravidelné analýzy dat, jejich validace a interpretace v souvislosti s provozovanými službami, provozním charakterem sítě Univerzity Karlovy a činností uživatelů. Důležité budou v tomto případě archivované informace v ticketovacím systému a z něj generované přehledy. Těžit by z nich měli i správci fakultních sítí – např. získat přehled o nejčastějších typech útoků na univerzitní síť v posledních dnech nebo o typech útoku na konkrétní operační systém / služby, které provozují, mít možnost sledovat hlášené a řešené incidenty ve své oblasti (rozsah IP adres, areál budov...). Ve výsledku to umožní mnoha incidentům předejít. Tento postup by měl cílově vést k sestavení „kvalifikace incidentů“, který bude v čase doplňován a aktualizován a bude součástí strategického dokumentu – metodiky CSIRT týmu a manuálu krizové komunikace. 

Projekt bude prezentován na národní i evropské úrovni, vzhledem k novele zákona o kybernetické bezpečnosti – ve smyslu dobré praxe, tak tradičním aktivitám NCBI, např. Evropský měsíc kybernetické bezpečnosti a další aktivity. Od počátku bude kladen důraz na prohloubení spolupráce s existující bezpečnostní infrastrukturou  CERT/CSIRT týmů působících v ČR (16 týmů) za účelem výměny a sdílení know-how, informací o zjištěných bezpečnostních incidentech, anomáliích v provozu, které by mohly mít přesah do oblasti bezpečnosti a zranitelnosti systémů. Dle realizace projektu bude vyhodnoceno, zda bude žádoucí CSIRT tým UK zařadit do světové infrastruktury prostřednictvím úřadu Trusted Introducer.