PROKI

PROKI celým názvem PRedikce a Ochrana před Kybernetickými Incidenty je výzkumný projekt sdružení CZ.NIC a Národního bezpečnostního týmu CSIRT.CZ, který byl zahájen v roce 2015. Projekt PROKI byl podpořen v rámci Programu bezpečnostního výzkumu ČR na léta 2015 – 2020.

Proč projekt vznikl?

Národní bezpečnostní tým dostává z různých zdrojů informace o IP adresách na blacklistech, IP adresách šířících malware, připojujících se ke C&C serverům a podobně. Prozatím však neměl systém na aktivní zpracování těchto informací. S využitím systému IntelMQ tak byl vybudován komplexní systém pro agregovaný sběr informací o českých sítích, díky němuž existuje stálý přehled o aktuálních hrozbách v síti a možnost dodatečných analýz.

Pro koho je určen zasílaný report?

Jednou z cílových skupin projektu PROKI jsou poskytovatelé Internetu a české organizace, které jsou členem RIPE NCC (LIR - Local Internet Registry).

Co výstup obsahuje?

Účelem projektu je sběr relevantních informací o bezpečnostních incidentech v dané síti. V případě, že bude v dané síti zjištěna jakákoli škodlivá činnost, bude správcům adresních bloků v pravidelných periodách zasílán souhrnný report, který jim umožní podniknout kroky vedoucí k nápravě. Informace různé důležitosti jsou zasílány na emailové adresy uvedené jako ‚abuse contact‘ v databázi RIPE NCC.

Co výstup obsahuje?

Výstupem je report ve formátu .csv (jehož jednotlivá pole oddělena čárkou, texty ve dvojitých uvozovkách), zasílaný jako příloha e-mailu komprimovaná metodou zip, obsahující následující informace:
* time_detected - čas, kdy byl incident detekován zdrojovým systémem   
* ip - IP adresa vykazující popisované chování   
* class - třída incidentu   
      např. Malicious Code, Intrusion Attempts, Information Gather   
* type - typ incidentu (jedna třída může obsahovat více typů)
       např. botnet drone, scanner, malware   
* time_delivered - čas, kdy byl incident zaregistrován systémem PROKI
* country_code - kód země
* asn - číslo autonomního systému
* description - dodatečný popis incidentu, pokud je dostupný
* malware - rodina nebo název malwaru, pokud je dostupný   
       např.  Trojan.Backdoor, Office.Word.Downloader
* feed_name - název zdrojového feedu, jejich seznam je uveden dále
* feed_url - URL zdrojového feedu
* raw - původní záznam ze zdrojového feedu

E-mailové reporty jsou odesílány z adresy proki@csirt.cz a podepsány následujícím PGP klíčem:
User ID: PROKI CSIRT.CZ proki@csirt.cz
Key ID: 0xFAAA CDD1
Key size: 2048
Fingerprint: F000 C887 F39D 3D49 63AC EEDE EF87 7480 FAAA CDD1

Za spolehlivost jednotlivých informační zdrojů nemůže Národní bezpečnostní tým CSIRT ručit, ale na základě vlastního sledování a zpětné vazby z koncových sítí bude tyto zdroje průběžně aktualizovat a měnit. Z tohoto důvodu jsou užitečné jakékoli Vaše náměty či odezvy týkající se jednotlivých informačních zdrojů nebo reportu celkově. Lze je zasílat na proki@csirt.cz.

Jak často a kam se zasílají výstupy?

Výstupy jsou zasílány dvakrát týdně na kontakt uvedený jako „abuse“ v RIPE databázi. Pokud máte adresy od jiného českého poskytovatele, na přeposílání informací týkajících se Vašich adres se musíte dohodnout přímo s ním.

Jak se můžu do projektu zapojit a dostávat z něho výstupy?

Do projektu jsou automaticky zapojeni všichni LIR z České republiky. Pokud chcete zasílat reporty na jinou emailovou adresu než tu, kterou máte uvedenu v databázi RIPE NCC, nahlaste ji na proki@csirt.cz.

Jak se můžu z projektu odhlásit?

V případě, že souhrnné reporty o Vašich adresách nechcete dostávat, napište na proki@csirt.cz.

Bude tým CSIRT.CZ nadále zasílat informace týkající se incidentů?

Projekt PROKI zpracovává jenom aktivně sbíraná data. Tým CSIRT.CZ však bude z titulu Národního bezpečnostního týmu nadále zpracovávat informace, které obdrží od různých subjektů o škodlivých adresách a službách, a které vyžadují rychlé řešení.

Jaké zdroje informací projekt PROKI využívá?

Projekt PROKI je postaven na řešení IntelMQ, které vzniklo za účelem automatizace sběru bezpečnostních informací a následného zpracování incidentů. Systém je využíván mnoha dalšími bezpečnostními týmy a v rámci bezpečnostní komunity také aktivně vyvíjen. V současnosti zpracováváme informace z mnoha zdrojů jako jsou např. veřejné blacklisty s IP adresami na kterých byla záznamenána škodlivá aktivita, z výstupů vlastních i veřejných honeypotů či z dalších zdrojů poskytnutých spolupracujícími CSIRT týmy.

Kompletní seznam zdrojů s stručným popisem je možné nalézt zde.

Projekt „Predikce a ochrana před kybernetickými incidenty (PROKI)“ (VI20152020026) je realizován v rámci Programu bezpečnostního výzkumu ČR na léta 2015 – 2020.
.png