cs:services:mentat

Systém Mentat: SIEM sítě CESNET2

Toto jsou oficiální stránky systému Mentat jakožto služby provozované v rámci sdružení CESNET, z.s.p.o. bezpečnostním týmem CESNET-CERTS. Oficiální stránky systému Mentat jakožto otevřeného projektu jsou k dispozici zde.

 Logo systému Mentat jakožto služby provozované sdružením CESNET

Systém Mentat vznikl jako reakce na velké množství detekčních systémů provozovaných v síti CESNET2. Každý z těchto systémů doposud prováděl zpracování událostí a rozesílání případných hlášení samostatně. Nasbíraná data byla roztroušena mezi velkým množstvím různých systémů a neumožňovala tak další případné zpracování, korelace, statistické analýzy atd.

Díky svému datovému modelu IDEA systém Mentat umožňuje sběr dat a jednotné zpracování informací o bezpečnostních událostech z libovolných detekčních nástrojů. V tuto chvíli fungují v produkčním režimu následující komponenty:

V případě jakýchkoliv dotazů, připomínek či námětů týkajících se systému Mentat, jeho webového rozhraní, nebo automatického reportingu, se na nás prosím obraťte na emailové adrese:

mentat-admin@cesnet.cz.

Webové rozhraní

Webové rozhraní je primárně určené dvěma skupinám uživatelů. Jednak jsou to členové bezpečnostního týmu CESNET-CERTS, kteří ho používají jako pomocný nástroj v procesu incident handlingu. Druhou skupinou cílových uživatelů jsou správci přímo z koncových sítí v síti CESNET2, kteří ho mohou používat ke konfiguraci reportování pro svou síť, pro vyhledávání událostí týkajících se jejich sítě, analýzu statistik událostí a k dalším úkonům. Další podrobnější informace o webovém rozhraní jsou dostupné na samostatné stránce.

Webové rozhraní služby pro uživatele je dostupné na adrese:

https://mentat-hub.cesnet.cz.

Automatická reportovací služba

Automatická reportovací služba hlásí zjištěné problémy týkající se strojů a zařízení v síti CESNET2 (AS2852) nebo v definovaných sítích našich partnerů, přímo na odpovědné abuse kontakty v cílové síti. Hlášení ze všech detekčních nástrojů tak mají jednotný formát a přidání dalších zdrojů informací již nyní nevyžaduje prakticky žádnou námahu. Další a podrobnější informace o reportování jsou dostupné na samostatné stránce.

FAQ: Často kladené otázky a odpovědi

Odkud získává Mentat hlášení o bezpečnostních incidentech?

Systém Mentat distribuuje hlášení o bezpečnostních incidentech, která přebírá ze dvou typů zdrojů:

  • interní (zdroje patřící institucím Sdružení CESNET)
  • externí (zdroje z jiných, nyní jen zahraničních institucí).

Co jsou interní zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Interní zdroje Mentatu:

  • Fail2Ban (CESNET Praha; hlášení o strojích, ze kterých odmítáme přijmout el. poštu, posílá Mentatu v 5minutových intervalech)
  • Honeypot Dionaea (CESNET Praha; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • SSH Honeypot Kippo (CESNET Praha; hlášení o pokusech o připojení na SSH posílá v hodinových intervalech)
  • Honeypot LaBrea „CESNET IDS“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • Honeypot LaBrea „CSIRT.CZ“ (CESNET; hlášení o pokusech o připojení posílá v hodinových intervalech)
  • Systém Warden (CESNET) předává Mentatu hlášení z těchto dalších zdrojů:

Všechna data, která detekují stroje CESNETu, považujeme za zcela důvěryhodná.

Co jsou externí zdroje Mentatu? Jak jsou důvěryhodná jejich data?

Externí zdroje Mentatu:

  • Polský národní bezpečnostní tým CERT.PL provozuje systém N6 (Network Security Incident eXchange), který shromažďuje a distribuuje data, která se týkají zejména polských sítí a domén. Pro CESNET jsou užitečné jen záznamy o útocích přicházejících z AS2852. CERT.PL rozesílá několik desítek typů hlášení; každý typ rozesílá max. 1* za 24 hodin. Hlášení CERT.PL zpracovává systém CESNET N6.
  • Celoevropská síť GÉANT provozuje systém NSHARP, který detekuje bezpečnostní události a informuje o nich správce sítí NREN. NSHARP v současnosti běží v testovacím režimu.
  • Nadace Shadowserver - americká nezisková organisace složená z dobrovolníků, která distribuje několik desítek typů hlášení zejména o zranitelných strojích; tyto informace získává aktivním scanem, monitorováním síťového provozu celosvětového Internetu a také od spolupracujících organisací. Informace o incidentech v AS2852 rozesílá každých 24 hodin (obvykle se zpožděním 24 - 48 hodin). Hlášení Shadowserveru zpracovává systém SSERV.
  • Projekt UCEPROTECT-NETWORK detekuje přijatý spam a špatně nakonfigurované poštovní servery. Hlášení o incidentech v AS2852 rozesílá každých 24 hodin; přijímá a zpracovává je systém CESNET UCEPROT.
  • Významná bezpečnostní organisace, která si nepřeje být jmenována, detekuje a rozesílá informace o bezpečnostních problémech a podezřelém síťovém provozu. Informace o incidentech v AS2852 předává systému CESNET X2 každý (nebo téměř každý) pracovní den.
  • Bezpečnostní tým firmy Microsoft posílá Vládnímu CERTu ČR informace o virech a síťových červech detekovaných v ČR. Informace o incidentech v AS2852 posílá GovCERT.CZ systému CESNET X4 každý pracovní den ráno.

V průběhu roku 2014 jsme zjistili, že určitý typ incidentů, které Microsoft hlásí GovCERTu.CZ, obsahuje zfalšované zdrojové IP adresy. Tento typ incidentů tedy ignorujeme; ostatní typy incidentů od všech externích zdrojů považujeme za důvěryhodné.

K čemu jsou tato data užitečná?

  • Potřeba sbírat a uchovávat data o bezpečnostních incidentech plyne za Zákona 181/2014 Sb. o kybernetické bezpečnosti.
  • Nasbíraná data nám umožňují:
    • rozpoznat provozní i bezpečnostní problémy (přetížení okruhu, špatná konfigurace firewallů nebo serverů umožňující zneužití k útokům typu DoS/DDoS, …). Zjištěná data mohou umožnit odstranění problémů dříve, než jich využijí útočníci;
    • rozpoznat pokusy o zneužití infrastruktury a dat;
    • zpětně určit události, které vedly k bezpečnostním incidentům.

Jaké typy/třídy událostí lze nalézt v hlášení

Na stránce Třídy událostí udržujeme aktuální seznam tříd událostí, které se mohou vyskytnout v pravidelných hlášeních od systému Mentat.

Co očekáváme od správců koncové sítě?

Předpokládáme, že správci koncových sítí:

  • přijmou hlášení systému Mentat
  • zhodnotí relevanci a důležitost hlášených incidentů
  • bez zbytečného zpoždění opraví, co je třeba
  • pro incidenty kategorie 2 a 3 včas odpoví, co zjistili a jak problém vyřešili.

Správce sítě samozřejmě může požádat pracovníky CESNET-CERTS o konsultaci/pomoc při řešení problému. Pokud si je správce koncové sítě jist, že ohlášený incident není důležitý a/nebo ho nelze opravit, může požádat o ignorování daného typu hlášení na příslušné IP adrese. Přitom by měl uvážit širší souvislosti uvedené v následujícím bodě.

Je v pořádku, když správce koncové sítě dlouhodobě zanedbává problém se zdánlivě nízkou mírou nebezpečí?

Některé druhy bezpečnostních problémů zdánlivě představují velmi malé nebezpečí. Jako příklad lze uvést:

  • otevřený rekursivní DNS resolver („DNS funguje, nemáme čas řešit nic dalšího“)
  • zranitelnost POODLE na webovém serveru („žádná tajná data tam nemáme, problém se nás netýká“).

Dlouhodobé ignorování problému ale může způsobit např toto:

  • otevřený rekursivní resolver bude zneužit při útoku DDoS společně s desetitisíci dalších podobně zanedbávaných strojů
  • na webovém serveru bude později nainstalována nové služba s důležitými daty; ta se pak dostanou do nepovolaných rukou.

To všechno pak může pokazit dobrou pověst příslušné instituce i celé sítě CESNET2.

Důležité je i to, že CESNET-CERTS odpovídá za celou síť CESNET2, nejen za její interní infrastrukturu - viz https://csirt.cesnet.cz/. Pracovníci CESNET-CERTS tedy nemohou nečinně přihlížet, pokud vidí dlouhodobě neřešené problémy.

Jak definujete kategorie závažnosti incidentů?

Z hlediska správců páteřní sítě i správců koncových sítí připojených k síti CESNET2 rozlišujeme tyto 4 kategorie závažnosti:

Kategorie Popis Očekávaná reakce
Nízká - Low (1) Informační charakter Žádná
Střední - Medium (2) Vážná událost Vyřešit/odpovědět do 2 dní
Vysoká - High (3) Velmi vážná událost Vyřešit/odpovědět co nejdříve
Kritická - Critical (4) Kritická událost Vyřešit/odpovědět co nejdříve

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců páteře CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

  • útoky DoS/DDoS (ověřená hlášení, nikoli všechna přijatá automatická hlášení)
  • nesprávná konfigurace umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP)
  • zkompromitovaná infrastruktura sítě.

Za středně nebezpečné považujeme:

  • útoky na SSH a RDP
  • zkompromitované stroje, botnety všeho druhu
  • potenciální ohrožení infrastruktury - OpenNTP, HeartBleed, NAT-PMP
  • porušování autorských práv.

Za málo nebezpečné považujeme:

  • málo kritický síťový provoz
  • spam, backscatter
  • méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             1
Fail2Ban Ostrava    2
Fail2Ban Praha      1
Honeyscan           1
Hoststats           1
HPScan              ???
Kippo               2
LaBrea              1 - 2
Nemea               1
RDPmonitor          2
ScanDetector        ???
SSHBruteforce       2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     1
N6 - Bots                       2
N6 - Bots Zeus P2P              2
N6 - Citadel                    2
N6 - Cutwail                    2
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           2
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            2
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    2
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    2
N6 - MalURL                     2
N6 - Moure                      2
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    2
N6 - Rovnix                     2
N6 - Shell Accounts             2
N6 - Tinba                      2
N6 - Victim Zeus                2
N6 - Virut                      2
N6 - Zeroaccess                 2
N6 - Zeus                       2
N6 - Zeus Gameover              2
N6 - Power Zeus                 2

SSERV - Botnet Proxy            2
SSERV - Command and Control     2
SSERV - Compromised Website     2
SSERV - Drone                   2
SSERV - Microsoft Sinkhole      2
SSERV - Open Proxy              2
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             1
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  1

X2 - Bots                       2
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   2
X2 - Proxy                      2
X2 - Scanners                   2
X2 - Spam                       1

X4 - B46-Simda                  2
X4 - B49-Waledac                2
X4 - B54-Citadel                2
X4 - B58-Bamital                2
X4 - B68-Zeroaccess             2
X4 - B71-Zeus/Zbot              2
X4 - B79-Kelihos                2
X4 - B93-Caphaw                 2
X4 - B106-Různé                 2
X4 - B107-Rustock               2
X4 - B157-Gameover Zeus         2
X4 - Conficker                  2

Jak hodnotíte závažnosti hlášení jednotlivých zdrojů z hlediska správců koncových sítí CESNETu2?

Pozn.: Koncept 20150701; připomínky jsou vítány.

Za vysoce nebezpečné považujeme tyto druhy incidentů:

  • útoky DoS/DDoS
  • zkompromitovaná infrastruktura sítě
  • zkompromitované stroje, botnety všeho druhu, phishing, spam
  • nesprávná konfigurace služeb umožňující silné útoky DoS (Scan NTP Monitor, SNMP, SSDP).

Za středně nebezpečné považujeme:

  • BruteForce útoky na SSH a RDP
  • potenciální ohrožení infrastruktury - OpenNTP, Open Resolver, HeartBleed, NAT-PMP, IPMI
  • MalwareURL, SandboxURL
  • porušování autorských práv.

Za málo nebezpečné považujeme:

  • málo kritický síťový provoz
  • backscatter, SpamURL
  • méně často zneužívaná špatná konfigurace stroje - CHARGEN, QOTD.
Interní zdroje CESNETu:
Název        závažnost hlášení
Dionaea             2
Fail2Ban Ostrava    2
Fail2Ban Praha      2
Honeyscan           2
Hoststats           1
Kippo               2
LaBrea              2
Nemea               2

Externí zdroje:
Název                    závažnost hlášení
N6 - Andromeda                  2
N6 - Arakis                     2
N6 - Bots                       3
N6 - Bots Zeus P2P             3
N6 - Citadel                    3
N6 - Cutwail                    3
N6 - CERT Polska Sinkhole       2
N6 - Citadel Sinkhole           3
N6 - Cloudflare DDoS            3
N6 - Compromised CMS            3
N6 - Compromised Routers        3
N6 - DarkHotel                  3
N6 - Dorkbot                    3
N6 - Energetic Bear             3
N6 - Geodo Trojan               2
N6 - Heartbleed                 2
N6 - Kelihos                    3
N6 - MalURL                     2
N6 - Moure                      3
N6 - Open NTP                   2
N6 - Pushdo                     2
N6 - Quakbot                    3
N6 - Rovnix                     3
N6 - Shell Accounts             3
N6 - Tinba                      3
N6 - Victim Zeus                3
N6 - Virut                      3
N6 - Zeroaccess                 3
N6 - Zeus                       3
N6 - Zeus Gameover              3
N6 - Power Zeus                 3

SSERV - Botnet Proxy            2 - 3
SSERV - Command and Control     2
SSERV - Compromised Website     3
SSERV - Drone                   2 - 3
SSERV - Microsoft Sinkhole      2 - 3
SSERV - Open Proxy              2 - 3
SSERV - Open DNS Resolver       2
SSERV - Sandbox URL             2
SSERV - Scan CHARGEN            1
SSERV - Scan IPMI               3
SSERV - Scan MEMCACHED          2
SSERV - Scan MongoDB            2
SSERV - Scan NAT-PMP            2
SSERV - Scan NETBIOS            2
SSERV - Scan NTP                2
SSERV - Scan NTP Monitor        3
SSERV - Scan QOTD               1
SSERV - Scan SNMP               3
SSERV - Scan SSDP               3
SSERV - Scan SSL-FREAK          2
SSERV - Sinkhole HTTP Drone     2 - 3
SSERV - Sinkhole HTTP Referer   1
SSERV - Spam URL                1
SSERV - SSL Scan                1 - 2

UCEPROT - Backscatter           1
UCEPROT - Spam                  3

X2 - Bots                       3
X2 - BruteForce                 2
X2 - Malware URL                2
X2 - Open Resolver              2
X2 - Phishing                   3
X2 - Proxy                      2 - 3
X2 - Scanners                   2 - 3
X2 - Spam                       3

X4 - B46-Simda                  3
X4 - B49-Waledac                3
X4 - B54-Citadel                3
X4 - B58-Bamital                3
X4 - B68-Zeroaccess             3
X4 - B71-Zeus/Zbot              3
X4 - B79-Kelihos                3
X4 - B93-Caphaw                 3
X4 - B106-Různé                 3
X4 - B107-Rustock               3
X4 - B157-Gameover Zeus         3
X4 - Conficker                  3

Jak předáváme hlášení o incidentech do koncových sítí?

Systém Mentat rozesílá pravidelná hlášení o bezpečnostních incidentech elektronickou poštou na kontaktní adresy správců zodpovědných za bezpečnost daných sítí. RIPE DB tuto kontaktní adresu hlásí na počátku výpisu informací o každé síti takto:

> % Information related to '195.113.0.0 - 195.113.69.79'
>
> % Abuse contact for '195.113.0.0 - 195.113.69.79' is 'abuse@cuni.cz'
>
> inetnum:        195.113.0.0 - 195.113.69.79
> netname:        CUNI-T34CZ
> descr:          Charles University
> descr:          Prague
> (...)

Každé hlášení Mentatu obsahuje incidenty přijaté za dané časové období a s danou úrovní závažnosti ze všech interních i externích zdrojů. Více informací o tomto způsobu reportování lze nalézt na samostatné stránce.

Poslední úprava: 01.11.2018 13:13