Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
1. Seminář o bezpečnosti sítí a služeb
&
Sběr a zpracování dat z bezpečnostních nástrojů
Pavel Kácha
ph@cesnet.cz
2. 9. 2. 2016 Warden & Mentat
Zdroje dat
- HW accelerated probes
- large scale (backbone-wide) flow based monitoring (NetFlow data sources)
- Honey Pots
- IDS, IPS, tar pit based systems, etc.. - SNMP based monitoring
3. 9. 2. 2016 Warden & Mentat
Začátky
● Neuspořádaná sbírka nekooperujících nástrojů
● Řadu z nich provozují sami správci
(a získávají z nich data jen pro sebe – ostatní zahazují)
● Dat je hodně, je třeba s nimi pracovat
● Lidské – mailové reportování neškáluje
● Brilantní nápad: Sdílet!
– Méně brilantní detaily:
Jak? Formát? Obsah? Protokol? Klasifikace? Politika?
4. 9. 2. 2016 Warden & Mentat
Warden
● Efektivní automatizované sdílení
– Transportní fronta (nikoliv skladiště)
● Komunitní přístup
– Tvá data jsou dostupná Warden komunitě
– Data celé komunity jsou dostupná Tobě
● BSD licence, https://wardenw.cesnet.cz
5. 9. 2. 2016 Warden & Mentat
Formát – IDEA
● JSON
● Jednoduchý, rozšiřitelný formát
● Jednou definované klíče a typy se ale nemění
● Dokážeme rozlišit primární data, agregovaná data, korelovaná data
● Definice: https://idea.cesnet.cz
6. 9. 2. 2016 Warden & Mentat
CESNET-CERTS
● Řešení a koordinace incidentů v síti CESNET2
– Jednotný a důvěryhodný kontaktní bod
– https://csirt.cesnet.cz, certs@cesnet.cz
● Jako bezpečnostní tým je používáme k
– ověření,
– doplnění informací,
– odhadu rozsahu
útoku.
● Za pomoci systému Mentat
7. 9. 2. 2016 Warden & Mentat
Mentat
● SIEM
● Úložiště událostí
(pro Warden jen další odebírající klient)
● https://mentat.cesnet.cz
8. 9. 2. 2016 Warden & Mentat
Komunita
● Poučení první: Nejsou lidi
– tj. připojené organizace se nezvládnou
technicky zapojit a data odebrat a
zpracovat
● Ale mají o ně zájem...
– Je třeba data správcům doručit
jednodušeji a předzpracovaná
● Učíme Mentat reportovat:
– rozdělit data podle příslušnosti,
– vytvořit reporty,
– a rozeslat do koncových sítí.
9. 9. 2. 2016 Warden & Mentat
Kvalita dat
● Reakce příjemců:
– Nedostatečné informace o incidentech
– Zahlcení množstvím/opakováním (někdy i po vyřešení)
– Nejasná závažnost incidentu (často závislá na lokální situaci)
– Problematická data třetích stran
● Dat je stále mnoho a jsou heterogenní
– Mají různou kvalitu,
– a různou vypovídací hodnotu
● Poučení druhé: Nestačí je jen přebalit a rozeslat
10. 9. 2. 2016 Warden & Mentat
Mentat – Reporter NG
● Učíme Mentat
– Inteligentně zamlčovat opakování
– Poskytovat v reportech víc informací
– Ve spolupráci se správci zavádíme závažnost incidentu
● Přidáváme do Mentatu rozhraní pro správce
– Možnost nastavení opakování a omezení odebírání určitých událostí
– Detaily, dashboardy, statistiky
11. 9. 2. 2016 Warden & Mentat
Pro srovnání
Flow data
– Páteřní prvky (24)
– Připojené sítě (50)
~200+ TB dat
(TTL >= 2-3 měsíce)
~100 000 flow/s
Událost
~30 GB dat
(TTL 30 dní)
~1,1 mil denně
Reporty
(Na ~320 institucí)
~60 denně
12. 9. 2. 2016 Warden & Mentat
Poučení třet
● Nestačí
– Sdílet pouze primární data – příliš mnoho, pro stromy nevidíme les
– Sdílet jen na úrovni jedné sítě – o řadě problémů se nedozvíme
– Sdílet jen data pro cílovou síť – chybí souvislosti, vidíme les, ale ne krajinu
13. 9. 2. 2016 Warden & Mentat
Současný tým
● Andrea Kropáčová
● Pavel Kácha
● Warden
– Michal Kostěnec
– Daniel Studený
– Tomáš Plesník
– Jakub Čegan
● Mentat
– Jan Mach
– Radomír Orkáč
– Pavel Vachek
14. 9. 2. 2016 Warden & Mentat
Děkuji za pozornost
GNU Terry Pratchett