Toto jsou oficiální stránky systému Mentat jakožto služby provozované v rámci sdružení CESNET, z.s.p.o. bezpečnostním týmem CESNET-CERTS. Oficiální stránky systému Mentat jakožto otevřeného projektu jsou k dispozici zde.
Systém Mentat vznikl jako reakce na velké množství detekčních systémů provozovaných v síti CESNET2. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.
Díky svému datovému modelu IDEA systém Mentat umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují z hlediska uživatelů v produkčním režimu následující komponenty:
V případě jakýchkoliv dotazů, připomínek či námětů týkajících se systému Mentat, jeho webového rozhraní, nebo automatického reportingu, se na nás prosím obraťte na emailové adrese:
mentat-info@cesnet.cz.
Jste-li zástupcem či správcem organizace a máte-li zájem o mailové reporty o bezpečnostních událostech ze systému Mentat, kontaktujte nás prosím na adrese mentat-info@cesnet.cz.
Webové rozhraní systému Mentat poskytuje přístup k interaktivní verzi všech odeslaných reportů, detailní pohled na události, ze kterých jsou reporty generovány, agregované statistiky událostí dle organizace, umožňuje konfiguraci pravidel reportování a zpětnou vazbu.
Máte-li zájem o přístup do webového rozhraní systému Mentat, navštivte prosím hlavní stránku webového rozhraní na https://mentat-hub.cesnet.cz a zaregistrujte si uživatelský účet pod svou federovanou identitou ve federaci eduID.cz. Můžete použít také tento přímý odkaz na registrační stránku. V žádosti uveďte požadovanou organizaci, k jejímž datům chcete v rámci systému Mentat přistupovat a stručné zdůvodnění pro posouzení žádosti. Po ověření Vaší příslušnosti bude Váš účet aktivován a o této skutečnosti budete informováni prostřednictvím emailu.
Webové rozhraní systému Mentat umožňuje spravovat přístupy členů Vašeho bezpečnostního týmu do systému Mentat. Kontaktujte nás prosím na adrese mentat-info@cesnet.cz, po ověření získáte práva pro správu uživatelů ve skupině své organizace.
Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu CESNET-CERTS, kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti CESNET2, kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům.
Další podrobnější informace o webovém rozhraní jsou dostupné na samostatné stránce.
Webové rozhraní služby pro uživatele je dostupné na adrese:
Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti CESNET2 (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou režii.
Další a podrobnější informace o reportování jsou dostupné na samostatné stránce.
Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:
Interní zdroje Mentatu:
Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.
Externí zdroje Mentatu:
V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.
Na stránce Třídy událostí udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.
Předpokládáme, že správci koncových sítí:
Správce sítě samozřejmě může požádat pracovníky CESNET-CERTS o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.
Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:
Dlouhodobé ignorování problému ale může způsobit např toto:
To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě CESNET2.
Důležité je i to, že CESNET-CERTS odpovídá za celou síť CESNET2, nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.
Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti CESNET2 rozlišujeme tyto 4 kategorie závažnosti:
Kategorie | Popis | Očekávaná reakce |
---|---|---|
Nízká - Low (1) | Informační charakter | Žádná |
Střední - Medium (2) | Vážná událost | Vyřešit/odpovědět do 2 dní |
Vysoká - High (3) | Velmi vážná událost | Vyřešit/odpovědět co nejdříve |
Kritická - Critical (4) | Kritická událost | Vyřešit/odpovědět co nejdříve |
Pozn.: Koncept 20150701; připomínky jsou vítány.
Za vysoce nebezpečné považujeme tyto druhy incidentů:
Za středně nebezpečné považujeme:
Za málo nebezpečné považujeme:
Interní zdroje CESNETu: Název závažnost hlášení Dionaea 1 Fail2Ban Ostrava 2 Fail2Ban Praha 1 Honeyscan 1 Hoststats 1 HPScan ??? Kippo 2 LaBrea 1 - 2 Nemea 1 RDPmonitor 2 ScanDetector ??? SSHBruteforce 2 Externí zdroje: Název závažnost hlášení N6 - Andromeda 2 N6 - Arakis 1 N6 - Bots 2 N6 - Bots Zeus P2P 2 N6 - Citadel 2 N6 - Cutwail 2 N6 - CERT Polska Sinkhole 2 N6 - Citadel Sinkhole 2 N6 - Cloudflare DDoS 3 N6 - Compromised CMS 2 N6 - Compromised Routers 3 N6 - DarkHotel 3 N6 - Dorkbot 2 N6 - Energetic Bear 3 N6 - Geodo Trojan 2 N6 - Heartbleed 2 N6 - Kelihos 2 N6 - MalURL 2 N6 - Moure 2 N6 - Open NTP 2 N6 - Pushdo 2 N6 - Quakbot 2 N6 - Rovnix 2 N6 - Shell Accounts 2 N6 - Tinba 2 N6 - Victim Zeus 2 N6 - Virut 2 N6 - Zeroaccess 2 N6 - Zeus 2 N6 - Zeus Gameover 2 N6 - Power Zeus 2 SSERV - Botnet Proxy 2 SSERV - Command and Control 2 SSERV - Compromised Website 2 SSERV - Drone 2 SSERV - Microsoft Sinkhole 2 SSERV - Open Proxy 2 SSERV - Open DNS Resolver 2 SSERV - Sandbox URL 1 SSERV - Scan CHARGEN 1 SSERV - Scan IPMI 3 SSERV - Scan MEMCACHED 2 SSERV - Scan MongoDB 2 SSERV - Scan NAT-PMP 2 SSERV - Scan NETBIOS 2 SSERV - Scan NTP 2 SSERV - Scan NTP Monitor 3 SSERV - Scan QOTD 1 SSERV - Scan SNMP 3 SSERV - Scan SSDP 3 SSERV - Scan SSL-FREAK 2 SSERV - Sinkhole HTTP Drone 2 SSERV - Sinkhole HTTP Referer 1 SSERV - Spam URL 1 SSERV - SSL Scan 1 - 2 UCEPROT - Backscatter 1 UCEPROT - Spam 1 X2 - Bots 2 X2 - BruteForce 2 X2 - Malware URL 2 X2 - Open Resolver 2 X2 - Phishing 2 X2 - Proxy 2 X2 - Scanners 2 X2 - Spam 1 X4 - B46-Simda 2 X4 - B49-Waledac 2 X4 - B54-Citadel 2 X4 - B58-Bamital 2 X4 - B68-Zeroaccess 2 X4 - B71-Zeus/Zbot 2 X4 - B79-Kelihos 2 X4 - B93-Caphaw 2 X4 - B106-Různé 2 X4 - B107-Rustock 2 X4 - B157-Gameover Zeus 2 X4 - Conficker 2
Pozn.: Koncept 20150701; připomínky jsou vítány.
Za vysoce nebezpečné považujeme tyto druhy incidentů:
Za středně nebezpečné považujeme:
Za málo nebezpečné považujeme:
Interní zdroje CESNETu: Název závažnost hlášení Dionaea 2 Fail2Ban Ostrava 2 Fail2Ban Praha 2 Honeyscan 2 Hoststats 1 Kippo 2 LaBrea 2 Nemea 2 Externí zdroje: Název závažnost hlášení N6 - Andromeda 2 N6 - Arakis 2 N6 - Bots 3 N6 - Bots Zeus P2P 3 N6 - Citadel 3 N6 - Cutwail 3 N6 - CERT Polska Sinkhole 2 N6 - Citadel Sinkhole 3 N6 - Cloudflare DDoS 3 N6 - Compromised CMS 3 N6 - Compromised Routers 3 N6 - DarkHotel 3 N6 - Dorkbot 3 N6 - Energetic Bear 3 N6 - Geodo Trojan 2 N6 - Heartbleed 2 N6 - Kelihos 3 N6 - MalURL 2 N6 - Moure 3 N6 - Open NTP 2 N6 - Pushdo 2 N6 - Quakbot 3 N6 - Rovnix 3 N6 - Shell Accounts 3 N6 - Tinba 3 N6 - Victim Zeus 3 N6 - Virut 3 N6 - Zeroaccess 3 N6 - Zeus 3 N6 - Zeus Gameover 3 N6 - Power Zeus 3 SSERV - Botnet Proxy 2 - 3 SSERV - Command and Control 2 SSERV - Compromised Website 3 SSERV - Drone 2 - 3 SSERV - Microsoft Sinkhole 2 - 3 SSERV - Open Proxy 2 - 3 SSERV - Open DNS Resolver 2 SSERV - Sandbox URL 2 SSERV - Scan CHARGEN 1 SSERV - Scan IPMI 3 SSERV - Scan MEMCACHED 2 SSERV - Scan MongoDB 2 SSERV - Scan NAT-PMP 2 SSERV - Scan NETBIOS 2 SSERV - Scan NTP 2 SSERV - Scan NTP Monitor 3 SSERV - Scan QOTD 1 SSERV - Scan SNMP 3 SSERV - Scan SSDP 3 SSERV - Scan SSL-FREAK 2 SSERV - Sinkhole HTTP Drone 2 - 3 SSERV - Sinkhole HTTP Referer 1 SSERV - Spam URL 1 SSERV - SSL Scan 1 - 2 UCEPROT - Backscatter 1 UCEPROT - Spam 3 X2 - Bots 3 X2 - BruteForce 2 X2 - Malware URL 2 X2 - Open Resolver 2 X2 - Phishing 3 X2 - Proxy 2 - 3 X2 - Scanners 2 - 3 X2 - Spam 3 X4 - B46-Simda 3 X4 - B49-Waledac 3 X4 - B54-Citadel 3 X4 - B58-Bamital 3 X4 - B68-Zeroaccess 3 X4 - B71-Zeus/Zbot 3 X4 - B79-Kelihos 3 X4 - B93-Caphaw 3 X4 - B106-Různé 3 X4 - B107-Rustock 3 X4 - B157-Gameover Zeus 3 X4 - Conficker 3
Systém Mentat rozesílá pravidelná hlášení o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:
> % Information related to '195.113.0.0 - 195.113.69.79' > > % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz' > > inetnum: 195.113.0.0 - 195.113.69.79 > netname: CUNI-T34CZ > descr: Charles University > descr: Prague > (...)
Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na samostatné stránce.