PLNOG 22 - Dominik Sabat, Krzysztof Rydz - O tym, co CERT Polska wie o Twojej sieci
•
0 j'aime•8 vues
O tym, co CERT Polska wie o Twojej sieci
Recommandé
Recommandé
Contenu connexe
Similaire à PLNOG 22 - Dominik Sabat, Krzysztof Rydz - O tym, co CERT Polska wie o Twojej sieci
Similaire à PLNOG 22 - Dominik Sabat, Krzysztof Rydz - O tym, co CERT Polska wie o Twojej sieci (14)
PLNOG 22 - Dominik Sabat, Krzysztof Rydz - O tym, co CERT Polska wie o Twojej sieci
- 1. O tym, co CERT Polska wie o Twojej sieci Dominik Sabat Krzysztof Rydz dominiks@cert.pl krzysztofr@cert.pl PLNOG 22 2019-03-11
- 3. Krajowy system cyberbezpieczeństwa 3 ~30 mln użytkowników ~ 2500 AS-ów
- 4. Obsługa incydentów ● W 2018 otrzymaliśmy 19439 zgłoszeń ● 5675 było podstawą do założenia incydentu ● 3739 obsłużonych incydentów 4
- 8. No more ransom 8Źródło: https://zaufanatrzeciastrona.pl/post/darmowe-deszyfrowanie-ransomware-thomasa-czy-tez-git-revert-thomas/
- 13. Współpraca w kraju i za granicą 13
- 14. SISSDEN 14
- 15. SISSDEN 15
- 16. SISSDEN 16
- 17. SISSDEN 17
- 20. SISSDEN - darknet 20 ● ponad 100k adresów IP
- 21. SISSDEN - darknet 21 ● ponad 100k adresów IP ● około 25 mld pakietów miesięcznie
- 22. SISSDEN - darknet 22 ● ponad 100k adresów IP ● około 25 mld pakietów miesięcznie ● ponad 0,5 mln pakietów na minutę
- 23. Rodzaje zagrożeń
- 24. Jak klasyfikujemy ? ● Możliwie jak najprościej! 24
- 25. Jak klasyfikujemy ? ● Wybrane kategorie: ○ Infekcje ○ Serwery zarządzające botnetami ○ Dystrybucja złośliwego oprogramowania - adresy URL ○ Usługi umożliwiające dokonywanie ataków DDoS ze wzmocnieniem ○ Źle skonfigurowane/podatne usługi ○ Phishing 25
- 26. n6 - Network Security Incident eXchange ● Platforma służąca do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci w sposób automatyczny 26
- 27. Statystyki 2018
- 28. Statystyki ● Zainfekowane komputery 28 940 079 unikalnych adresów IP wykazujących aktywność zombie - tylko w polskich sieciach
- 29. Statystyki ● Zainfekowane komputery 29 940 079 unikalnych adresów IP wykazujących aktywność zombie - tylko w polskich sieciach 13 000 średnia dzienna liczba infekcji w polskich sieciach
- 30. Statystyki ● Zainfekowane komputery 30 940 079 unikalnych adresów IP wykazujących aktywność zombie - tylko w polskich sieciach 13 000 średnia dzienna liczba infekcji w polskich sieciach Rodzina Rozmiar andromeda 6059 conficker 4529 mirai 1969 sality 1531 necurs 1502 isfb 1412 gamut 1392 stealrat 1312 nymaim 1261 pushdo 1008
- 31. Statystyki 31
- 32. Statystyki ● Serwery zarządzające botnetami 32 40 000 - unikalnych adresów IP serwerów C&C 150 - krajów, USA 38%, Polska 1%
- 33. Statystyki ● Serwery zarządzające botnetami 33 40 000 - unikalnych adresów IP serwerów C&C 150 - krajów, USA 38%, Polska 1% 50 000 - unikalnych nazw domenowych FQDN 358 - w .pl, 20638 - w .com
- 34. Statystyki ● Serwery zarządzające botnetami 34 Numer AS Nazwa AS Liczba IP Udział 1 12824 home.pl 67 17,49% 2 16276 OVH 41 10,70% 3 5617 Orange 28 7,31% 4 15967 nazwa.pl 27 7,05% 5 41079 H88 14 3,66% 6 197226 Sprint 14 3,66% 7 29522 KEI 10 2,61% 8 21021 Multimedia 8 2,09% 9 198414 H88 8 2,09% 10 50599 Data Invest 7 1,83%
- 35. Statystyki ● Dystrybucja złośliwego oprogramowania - adresy URL 35 4 457 213 - unikalnych adresów URL 93 266 - w .pl, 66 861 - chomikuj.pl
- 36. Statystyki ● Dystrybucja złośliwego oprogramowania - adresy URL 36 Liczba IP ASN Nazwa Procent sieci Udział 1 1010 12824 home.pl 0,49% 30,07% 2 520 15967 nazwa.pl 0,53% 15,48% 3 225 16276 OVH 0,01% 6,70% 4 134 41079 H88 1,80% 3,99% 5 114 29522 KEI 0,17% 3,39%
- 37. Statystyki - usługi umożliwiające dokonywanie ataków DDoS ze wzmocnieniem Źródło: https://www.cloudflare.com/learning/ddos/dns-amplification-ddos-attack/ 37
- 38. Statystyki - najpopularniejsze usługi umożliwiające dokonywanie ataków DDoS ze wzmocnieniem 38 Nazwa usługi Średnia dzienna liczba unikalnych IP Maksimum dzienne dns 53519 68868 snmp 29094 34280 ntp 27679 31333 portmapper 25419 31662 ssdp 21355 27804 netbios 17909 37599
- 39. Statystyki - otwarty resolver 39 asn nazwa AS średnia dzienna maksimum odsetek adresów 5617 Orange 38958 52069 0.70% 9143 Ziggo 4454 4856 0.12% 12741 Netia 1521 2595 0.09% … 24577 Onefone 451 507 14.68% ... 28797 Politechnika Koszalińska 339 339 16.55%
- 40. Statystyki - snmp 40 asn nazwa AS średnia dzienna maksimum odsetek adresów 12741 Netia 6431 7585 0.39% 5617 Orange 5386 9370 0.09% 20960 TK Telekom 3541 4482 1.42% 8798 Powszechna Agencja Informacyjna 890 972 11.21% ... 199978 NETCOM 332 412 10.80%
- 42. Statystyki - portmapper 42 asn nazwa AS średnia dzienna maksimum odsetek adresów 16276 OVH 3343 4330 0.12% 5617 Orange 1573 1883 0.02% 57367 ATMAN 1384 1652 8.71% 41079 H88 1074 1782 14.46%
- 44. Statystyki - ssdp 44 asn nazwa AS średnia dzienna maksimum odsetek adresów 5617 Orange 5594 7108 0.10% 29314 Vectra 1583 2234 0.29% 12741 Netia 1514 2007 0.09% ... 197697 Derkom 533 1026 10.41%
- 48. Statystyki - źle skonfigurowane/podatne usługi 48 Nazwa podatności Średnia dzienna liczba IP maksimum dzienne ssl-poodle 255546 312044 cwmp 62332 75744 tftp 48648 59758 rdp 36180 43847 telnet 31512 41663 nat-pmp 10859 15628 isakmp 10156 11758
- 49. Statystyki - źle skonfigurowane/podatne usługi 49
- 50. Statystyki - źle skonfigurowane/podatne usługi 50
- 51. Statystyki - źle skonfigurowane/podatne usługi 51
- 52. Statystyki - źle skonfigurowane/podatne usługi 52
- 53. Statystyki - źle skonfigurowane/podatne usługi 53
- 54. Statystyki - źle skonfigurowane/podatne usługi 54
- 55. VNC 55
- 56. VNC 56
- 57. VNC 57
- 58. VNC 58
- 59. VNC 59
- 60. Skąd my to wszystko wiemy ?
- 61. Źródła danych ● Dane pozyskane ze 104 źródeł 61
- 62. Źródła danych ● Dane pozyskane ze 104 źródeł 62
- 63. Automatyzacja ● Zdarzeń zapisanych w bazie n6 w 2018 roku: 363 935 193 63
- 64. Automatyzacja ● Zdarzeń zapisanych w bazie n6 w 2018 roku: 363 935 193 ● Przetworzonych znacznie więcej - np. agregacja z sinkhole’a 64
- 65. Automatyzacja ● Zdarzeń zapisanych w bazie n6 w 2018 roku: 363 935 193 ● Przetworzonych znacznie więcej - np. agregacja z sinkhole’a ● Wzbogacanie, normalizacja, dystrybucja 65
- 66. 66
- 67. Open Source 67
- 68. Co dostaje właściciel sieci ?
- 70. Dystrybucja danych ● API REST - csv, json 70
- 71. Dystrybucja danych ● API REST - csv, json { "origin": "sinkhole", "category": "bots", "confidence": "medium", "name": "vpnfilter", "time": "2019-03-01T00:03:01Z", "source": "hidden.53", "address": [ { "cc": "PL", "ip": "80.52.xxx.xxx", "asn": 5617 } ], "dip": "104.16.6.63", "id": "c94034cc919ae3809d75c79fdabf5c42" }, 71
- 72. Jak dołączyć ?
- 73. Rejestracja w n6 ● E-mail na n6@cert.pl 73
- 74. Rejestracja w n6 ● E-mail na n6@cert.pl ○ Nazwa podmiotu ○ Nazwa stanowiska w podmiocie ○ Numer AS, sieci, domeny ○ Minimalna wielkość sieci /29 74
- 75. Rejestracja w n6 ● E-mail na n6@cert.pl ○ Nazwa podmiotu ○ Nazwa stanowiska w podmiocie ○ Numer AS, sieci, domeny ○ Minimalna wielkość sieci /29 ● Dostęp jest darmowy ! 75
- 76. cert.pl n6.cert.pl incydent.cert.pl… 76 Pytania? Dominik Sabat Krzysztof Rydz dominiks@cert.pl krzysztofr@cert.pl