rola nask w krajowym systemie · • n6: • nazwa: network security incidents exchange (nsix). •...
TRANSCRIPT
![Page 1: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/1.jpg)
Rola NASK w Krajowym Systemie Cyberbezpieczeństwa
![Page 2: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/2.jpg)
Misja
Powołana w 1992 Naukowa i
Akademicka Sieć Komputerowa ma
status Państwowego Instytutu
Badawczego.
„Podłączyliśmy Polskę do Internetu.”
Główne obszary działań NASK to:
• Rejestr domeny .pl
• Cyberbezpieczeństwo
• Dyżurnet.pl i Safer Internet
• Badania naukowe w zakresie
sieci komputerowych
• Ogólnopolska Sieć Edukacyjna
• Badania społeczne
• Edukacja
• Projekty strategiczne
![Page 3: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/3.jpg)
CERT Polska
• Pierwszy polski zespół CSIRT,
powołany w 1997.
• Projekty badawczo-rozwojowe:
• N6;
• ARAKIS;
• SISSDeN.
• Analiza złośliwego oprogramowania i
rozbijanie botnetów.
• Śledzenie działań cyberprzestępców.
• Informatyka śledcza i wsparcie dla
organów ścigania.
• Przyjmowanie zgłoszeń od podmiotów
Krajowego Systemu
Cyberbezpieczeństwa.
• Program partnerski „Partnerstwo dla
Cyberbezpieczeństwa”.
![Page 4: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/4.jpg)
Projekty B+R
• N6:
• Nazwa: Network Security Incidents
Exchange (NSIX).
• Aktualizowana na bieżąco baza
danych zdarzeń bezpieczeństwa.
• Dostępny dla podmiotów
posiadających swoje zakresy
adresowe.
• Bezpłatne!
• https://n6.cert.pl/
• ARAKIS2
• System wczesnego ostrzegania
analizujący przepływy sieciowe oraz
dane z pułapek.
• Możliwość definiowania stałych
zapytań i dashboardów.
• SISSDeN
• System gromadzenia informacji o
zagrożeniach z pułapek sieciowych
różnych typów.
![Page 5: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/5.jpg)
„Partnerstwo dla Cyberbezpieczeństwa”
• Partnerstwo Publiczno-
Prywatne pod auspicjami
Ministerstwa Cyfryzacji.
• Porozumienia trójstronne
pomiędzy Ministerstwem,
NASK-PIB i Partnerem.
• Umowa dwustronna pomiędzy
NASK-PIB i Partnerem.
• Strefa Partnera aktualizowana
na bieżąco.
• Dostęp do baz informacji o
zagrożeniach (MISP, n6).
• Biuletyn tygodniowy o stanie
bezpieczeństwa.
![Page 6: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/6.jpg)
Harmonizacja z dyrektywą NIS
Wskazanie operatorów
usług kluczowych wraz z
podziałem na sektory:
• Energetyka
• Transport
• Bankowość i rynki finansowe
• Ochrona zdrowia
• Infrastruktura cyfrowa
• Wodociągi
Kategoria dostawców usług
cyfrowych.
Sektor publiczny.
![Page 7: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/7.jpg)
Współpraca NASK z podmiotami KSC
• CSIRT NASK jest zespołem domyślnym dla podmiotów KSC, z wykluczeniem tych, które są obsługiwane przez:
• CSIRT GOV (administracja publiczna, infrastruktura krytyczna);
• CSIRT MON (wojsko).
• Współpraca za pośrednictwem sektorowych zespołów CSIRT.
• Możliwość zgłaszania incydentów i zagrożeń przez JST, SME i obywateli.
![Page 8: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/8.jpg)
Zadania CSIRT poziomu krajowego
• Analizowanie zagrożeń i podatności.
• Monitorowanie wskaźników zagrożeń.
• Edukacja i budowanie świadomości
społecznej.
• Opracowywanie analiz, standardów i
dobrych praktyk. Wsparcie obsługi
incydentów poważnych i krytycznych.
• Udział w europejskiej Sieci zespołów
CSIRT.
• Analizowanie rozwiązań bezpieczeństwa.
• Międzynarodowa wymiana informacji o
incydentach poważnych i istotnych.
![Page 9: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/9.jpg)
Zadania CSIRT NASK
• Rejestracja incydentów i ich klasyfikacja.
• Koordynowanie odpowiedzi na incydenty.
• Budowanie obrazu zagrożeń i ocena
ryzyka.
• Współpraca krajowa i międzynarodowa.
• Informowanie o zagrożeniach.
• Tworzenie raportu o stanie
cyberbezpieczeństwa dla Ministra
właściwego ds. informatyzacji.
• Współpraca z RCB oraz organem
właściwym ds. ochrony danych osobowych.
• Udział w Zespole ds. Incydentów
Krytycznych.
![Page 10: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/10.jpg)
Współpraca NASK z podmiotami KSC
• CSIRT NASK jest zespołem domyślnym dla podmiotów KSC, z wykluczeniem tych, które są obsługiwane przez:
• CSIRT GOV (administracja publiczna, infrastruktura krytyczna);
• CSIRT MON (wojsko).
• Współpraca za pośrednictwem sektorowych zespołów CSIRT.
• Możliwość zgłaszania incydentów i zagrożeń przez JST, SME i obywateli.
![Page 11: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/11.jpg)
![Page 12: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/12.jpg)
https://incydent.cert.pl
![Page 13: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/13.jpg)
Obsługa zgłoszeń incydentów
![Page 14: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/14.jpg)
Obsługa zgłoszeń incydentów i zagrożeń
Zgłoszenia obsługiwane są w trybie
24/7/365. Pochodzą z:
• formularza na stronie CERT;
• podmioty KSC;
• obywatele;
• systemów automatycznych;
• od Partnerzów „PdC”.
• Kryteria oceny zgłoszenia:
• Czy dotyczy realnego zagrożenia?
• Jakie jest to zagrożenie?
• Czy to zagrożenie jest już znane?
• Jak poważne jest to zagrożenie
(incydent krytyczny lub poważny).
• Jakiego sektora dotyczy.
• Który CSIRT jest właściwy?
• Czy zgłoszenie należy przekazać organom
ścigania?
• Czy informacje o zagrożeniu uzasadniają
wydanie ostrzeżenia RSO?
![Page 15: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/15.jpg)
Liczby
29 13
643
62 20 51 85 2
2834
3739
0
500
1000
1500
2000
2500
3000
3500
4000
INCYDENTY ZGŁOSZONE W 2018 WG SEKTORÓWŁącznie Liczba incydentów
![Page 16: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/16.jpg)
Liczby
431
862
101153 125
49 46
1878
6925
0
200
400
600
800
1000
1200
1400
1600
1800
2000
Obraźliwe inielegalne treści
(Abusive Content)
Złośliweoprogramowanie(Malicious Code)
Gromadzenieinformacji
(Informationgathering)
Próby włamań(IntrusionAttempts)
Włamania(Intrusions)
Dostępnośćzasobów
Atak nabezpieczeństwo
informacji(Information
Content Security)
Oszustwakomputerowe
(Fraud)
Vulnerable Inne (Other)
KLASYFIKACJA INCYDENTÓW WG METODYKI ECSIRT.NET
![Page 17: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/17.jpg)
Zagrożenia
![Page 18: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/18.jpg)
Zagrożenia
• Przestępczość internetowa zorientowana na zysk:
• ransomware;
• kradzież danych (szantaż, szpiegostwo biznesowe);
• kradzież aktywów finansowych (ataki na konta
bankowe, kradzież kryptowalut);
• ataki na wizerunek firmy
• w celu wypchnięcia z rynku;
• w celu zarobku na krótkiej sprzedaży udziałów;
• ataki na infrastrukturę firmy jako dźwignia szantażu.
• Przestępczość zorientowana na cele polityczne
(cyberterroryzm/cyberaktywizm)
• dezinformacja;
• propaganda.
![Page 19: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/19.jpg)
Zagrożenia
• Szpiegostwo:
• przemysłowe;
• rozpoznanie głębokiego zwiadu w poszukiwaniu podatności
w infrastrukturze krytycznej bądź kluczowej.
• Wojna hybrydowa:
• zaprzeczalny sabotaż motywowany celami politycznymi;
• propaganda;
• kombinacja wcześniej wymienionych działań w celu uzyskania
przewagi geostrategicznej.
![Page 20: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/20.jpg)
Fałszywe sklepy
• Super atrakcyjna oferta.
• Płatność przez fałszywy serwis
finansowy.
• Olbrzymie zyski.
• Przeciętnemu konsumentowi trudno
zweryfikować sprzedawcę.
![Page 21: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/21.jpg)
Thomas alias Armaged0n, obecnie „Tomasz T.”
• Przez kilka lat najbardziej wytrwały polski cyberprzestępca.
• Aresztowany dzięki współpracy NASK z organami ścigania.
• Udostępniamy narzędzie do odszyfrowania plików które padły łupem Thomasa.
![Page 22: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/22.jpg)
![Page 23: Rola NASK w Krajowym Systemie · • N6: • Nazwa: Network Security Incidents Exchange (NSIX). • Aktualizowana na bieżąco baza danych zdarzeń bezpieczeństwa. • Dostępny](https://reader036.vdocuments.pub/reader036/viewer/2022081407/5f1d322f46d70e69847e5067/html5/thumbnails/23.jpg)
Kontakt