ARAKIS: polski system wczesnego ostrzegania

CERT Polska udostępnił testowo strony systemu ARAKIS (czyli: Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych). Celem projektu jest wykrywanie i identyfikowanie zagrożeń występujących w polskim Internecie. "Dzięki ARAKISowi będziemy (a właściwie juz jesteśmy) w stanie wcześnie wykrywać "nielegalną aktywność" w sieci - np. nowe robaki" - powiedział nam Mirosław Maj, szef CERT Polska.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
3-4 kwietnia 2017

Coaching w Scrumie, to autorski program szkoleniowy, zaprojektowany z myślą o doskonaleniu pracy każdego Scrum Mastera. 2-dniowe szkolenie,...

Zarejestruj się
ARAKIS jest stworzony przede wszystkim z myślą o wykrywaniu i opisywaniu automatycznych zagrożeń. System wykrywa zagrożenia, które wykorzystują skanowanie w celu wyboru ofiary ataku - najczęściej będą to narzędzia wykorzystywane do skanowania i masowe exploity, robaki oraz botnety (czyli sieci komputerów zainfekowanych przez robaki, umożliwiające ich zdalne kontrolowanie - szerzej o tym zjawisku pisaliśmy w tekście 'Zombie PC: zmora naszych czasów').

"Dzięki ARAKISowi będziemy (a właściwie juz jesteśmy) w stanie wcześnie wykrywać "nielegalną aktywność" w sieci, wykrywać nowe robaki, a także tworzyć "obraz bezpieczeństwa i zagrożeń polskich zasobów sieci Internet i chronić wybrane zasoby - na przykład tzw. krytyczną infrastrukturę teleinformatyczną" - tłumaczy Mirosław Maj, szef CERT Polska. "W przyszłości ARAKIS pozwoli również aktywnie i w sposób zautomatyzowany zwalczać pojawiające się w sieci zagrożenia - poprzez ich detekcję, zbadanie i ustalenie metody ochrony (na przykład sygnatury IDS)" - dodaje M. Maj.

Na stronie systemu ARAKIS prezentowana jest podstawowa analiza danych z wybranych systemów firewall, która może wspomagać detekcję wymienionych wyżej zagrożeń. Jednak docelowo do wykrywania zagrożeń wykorzystywane będą dane z różnych źródeł - systemów firewall, routerów w szkieletach sieci rozległych, a także tzw. honeypotów (dosłownie termin ten oznacza 'garnek miodu' - określa się nim serwery, urządzenia sieciowe i oprogramowanie symulujące słabo zabezpieczoną sieć komputerową). Głównym tematem projektu jest jednak analiza i korelacja danych przez samouczący się system. Na stronie prezentowane są wykresy portów, na których nastąpiły największe zmiany w ciągu ostatnich 24 godzin w porównaniu z ostatnimi 5 dniami oraz 48 godzin z ostatnimi 30 dniami. Prezentowane są także porty najbardziej aktywne w ciągu ostatnich 12 godzin, mapa Polski i świata z ostatnich 24 godzin.

Przykład statystyk, prezentowanych przez system ARAKISKliknij, aby powiększyćPrzykład statystyk, prezentowanych przez system ARAKIS

"Jest to ściśle polska inicjatywa. Oczywiście, ARAKIS to nie jest jedyny tego typu projekt na świecie i dlatego współpracujemy z innymi, którzy zajmują się podobnymi projektami, na przykład z innymi CERTami - chodzi tu głównie o wymianę doświadczeń - na razie nie ma żadnej inicjatywy łączącej wspólne wysiłki" - powiedział nam Mirosław Maj.

Szefa CERT Polska zapytaliśmy również, kiedy można spodziewać się udostępniania finalnej wersji serwisu - "O finalnej wersji możemy mówić dwojako: - czyli wersji finalnej tego, co juz mamy - myślę, ze to będzie gotowe na naszą październikową konferencję SECURE - chyba, że dostaniemy ciekawe uwagi od naszych subskrybentów i zdecydujemy się je zaimplementować. W takiej sytuacji być może przedłuży się to do końca roku. Jeśli chodzi o wersję finalną całego systemu - trudno to określić, ponieważ jest to projekt badawczy i stawiamy sobie bardzo ambitne cele. Jesteśmy w trakcie definiowania potrzebnych zasobów do realizacji projektu i po tym zadaniu będziemy mogli powiedzieć coś więcej - na przykład co dokładnie za jaki czas będziemy mieli" - tłumaczy M. Maj.

Więcej informacji:

http://arakis.cert.pl

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.