ARAKIS: polski system wczesnego ostrzegania

CERT Polska udostępnił testowo strony systemu ARAKIS (czyli: Agregacja, Analiza i Klasyfikacja Incydentów Sieciowych). Celem projektu jest wykrywanie i identyfikowanie zagrożeń występujących w polskim Internecie. "$Dzięki ARAKISowi będziemy (a właściwie juz jesteśmy) w stanie wcześnie wykrywać "nielegalną aktywność" w sieci - np. nowe robaki$" - powiedział nam Mirosław Maj, szef CERT Polska.

ARAKIS: polski system wczesnego ostrzegania

ARAKIS jest stworzony przede wszystkim z myślą o wykrywaniu i opisywaniu automatycznych zagrożeń. System wykrywa zagrożenia, które wykorzystują skanowanie w celu wyboru ofiary ataku - najczęściej będą to narzędzia wykorzystywane do skanowania i masowe exploity, robaki oraz botnety (czyli sieci komputerów zainfekowanych przez robaki, umożliwiające ich zdalne kontrolowanie - szerzej o tym zjawisku pisaliśmy w tekście 'Zombie PC: zmora naszych czasów').

"Dzięki ARAKISowi będziemy (a właściwie juz jesteśmy) w stanie wcześnie wykrywać "nielegalną aktywność" w sieci, wykrywać nowe robaki, a także tworzyć "obraz bezpieczeństwa i zagrożeń polskich zasobów sieci Internet i chronić wybrane zasoby - na przykład tzw. krytyczną infrastrukturę teleinformatyczną" - tłumaczy Mirosław Maj, szef CERT Polska. "W przyszłości ARAKIS pozwoli również aktywnie i w sposób zautomatyzowany zwalczać pojawiające się w sieci zagrożenia - poprzez ich detekcję, zbadanie i ustalenie metody ochrony (na przykład sygnatury IDS)" - dodaje M. Maj.

Na stronie systemu ARAKIS prezentowana jest podstawowa analiza danych z wybranych systemów firewall, która może wspomagać detekcję wymienionych wyżej zagrożeń. Jednak docelowo do wykrywania zagrożeń wykorzystywane będą dane z różnych źródeł - systemów firewall, routerów w szkieletach sieci rozległych, a także tzw. honeypotów (dosłownie termin ten oznacza 'garnek miodu' - określa się nim serwery, urządzenia sieciowe i oprogramowanie symulujące słabo zabezpieczoną sieć komputerową). Głównym tematem projektu jest jednak analiza i korelacja danych przez samouczący się system. Na stronie prezentowane są wykresy portów, na których nastąpiły największe zmiany w ciągu ostatnich 24 godzin w porównaniu z ostatnimi 5 dniami oraz 48 godzin z ostatnimi 30 dniami. Prezentowane są także porty najbardziej aktywne w ciągu ostatnich 12 godzin, mapa Polski i świata z ostatnich 24 godzin.

ARAKIS: polski system wczesnego ostrzegania

Przykład statystyk, prezentowanych przez system ARAKIS

"Jest to ściśle polska inicjatywa. Oczywiście, ARAKIS to nie jest jedyny tego typu projekt na świecie i dlatego współpracujemy z innymi, którzy zajmują się podobnymi projektami, na przykład z innymi CERTami - chodzi tu głównie o wymianę doświadczeń - na razie nie ma żadnej inicjatywy łączącej wspólne wysiłki" - powiedział nam Mirosław Maj.

Szefa CERT Polska zapytaliśmy również, kiedy można spodziewać się udostępniania finalnej wersji serwisu - "O finalnej wersji możemy mówić dwojako: - czyli wersji finalnej tego, co juz mamy - myślę, ze to będzie gotowe na naszą październikową konferencję SECURE - chyba, że dostaniemy ciekawe uwagi od naszych subskrybentów i zdecydujemy się je zaimplementować. W takiej sytuacji być może przedłuży się to do końca roku. Jeśli chodzi o wersję finalną całego systemu - trudno to określić, ponieważ jest to projekt badawczy i stawiamy sobie bardzo ambitne cele. Jesteśmy w trakcie definiowania potrzebnych zasobów do realizacji projektu i po tym zadaniu będziemy mogli powiedzieć coś więcej - na przykład co dokładnie za jaki czas będziemy mieli" - tłumaczy M. Maj.

Więcej informacji:

http://arakis.cert.pl