CERT.be
Brussels 2011
Wat?
Brussels 2011
CERT.be
CERT Computer Emergency Response Team CSIRT : Computer Security Incident Response Team
CERT.be = De Belgische nationale CERT
Brussels 2011
CERT.be
3
Onze Missie De missie van het CERT.be bestaat erin om IT infrastructuur van Belgische hoofdspelers, kritieke infrastructuur en Belgische groot publiek te verdedigen door: • Te informeren over computer incidenten, • Ondersteuning te geven in het behandelen van incidenten, • Het coördineren van grootschalige incidenten, • Helpen bij het opzetten van CSIRT activiteiten, • Delen van gegevens en kennis Brussels 2011
CERT.be
4
Onze Rol (Reactief) Behandelen van computer en netwerk incidenten
(Proactief) Informatie publiceren over IT security – Bewustwording creëren – Delen van kennis en informatie
Brussels 2011
CERT.be
5
Reactieve Diensten
Brussels 2011
CERT.be
Incident Behandeling Incident Analyse • Bedreiging evalueren • Rapport publiceren Incident Response ondersteuning
Brussels 2011
CERT.be
7
Incident Behandeling Incident Response Coördinatie: vb. DNS.be
Brussels 2011
CERT.be
8
Alarmen en Waarschuwingen https://www.cert.be/ RSS Feed voor security advisories
Brussels 2011
CERT.be
9
Problemen voor een CERT
Overvloed aan bronnen Abusix , Clean-MX, Shadowserver, Dshield, ...
“Old school” aanpak 1-on-1, overtolligheid, niet doeltreffend
Waardevolle middelen en informatie gaan verloren Manueel filtreren, moeilijke opvolging, warboel van ticketten
Brussels 2011
CERT.be
10
Conclusie van het CERT
We moeten automatiseren!
We moeten de communicatie kanalen aanpassen!
We moeten samenwerken • CERTs • Doelpubliek • ISPs
Brussels 2011
CERT.be
11
AbuseHelper
Generieke open source framework
Schaalbaar systeem met chatrooms en bots
Flexiebele input and output
Automatische incident rapportering
Http://www.abusehelper.be
Brussels 2011
CERT.be
12
Proactieve Diensten
Brussels 2011
CERT.be
13
Mededelingen
Brussels 2011
CERT.be
14
Technology Watch Standaard activiteiten: • Monitoring web sites • Mailing lists • Op de hoogte blijven van nieuwe technologiën Verschillende publicaties : • Artikels • Advisories • etc...
Brussels 2011
CERT.be
15
Verspreiding van informatie over security
Brussels 2011
CERT.be
16
Opleiding / Trainings Opzetten van een CSIRT
Brussels 2011
CERT.be
17
Bewustwording creëren Conferenties Workshops
Brussels 2011
CERT.be
18
Wie?
Brussels 2011
CERT.be
Wie zit achter het CERT.be Geopereerd door BELNET, het Belgisch nationaal onderzoeksnetwerk Gefinancieerd door FEDICT In coördinatie met BIPT In samenwerking met FCCU
Brussels 2011
CERT.be
20
Wie zit achter het CERT.be • Coördinator Ad Interim: • Christian Van Heurck • Security Analysts: • Koen Van Impe • Jérôme Devigne • David Durvaux • Yorkvik Jacqmin • Jacqueline Dulmaine • Belnet team: • Ondersteuning (technisch, juridisch, communicatie,...) Brussels 2011
CERT.be
21
Fasering
Brussels 2011
CERT.be
Geen big bang, maar een project in fases Fase 1 • Start September 2009. • Prioriteiten: Kritieke infrastructuur Fase 2 • Start: January 2010 • Uitbreiding naar het grote publiek
Brussels 2011
CERT.be
23
volgende phases Fase 3 • Start: July, 2011 • Uitbreiding openingsuren Fase 4 • Start: July, 2012 • Meer services
Brussels 2011
CERT.be
24
Wat gaat er veranderen?
Brussels 2011
CERT.be
Verandering aan uw zijde U blijft verantwoordelijke voor uw netwerk en systemen Maar: • We zijn een neutrale bron van informatie • Ondersteuning in geval van incidenten • We antwoorden op uw vragen
Brussels 2011
CERT.be
26
Rapporteren van incidenten is belangrijk! U bent misschien niet de enige onder aanval Anderen hebben misschien al een oplossing gevonden Uw oplossing kan anderen helpen CERT.be als centraal contactpunt maakt het delen van zulke informatie mogelijk
Brussels 2011
CERT.be
27
Rapportering van incidenten email:
[email protected] Web formulier: https://www.cert.be/pro/report-incident
Telefoon: +32 2 790 33 85
Brussels 2011
CERT.be
28
myCERT.be • Hoe kunnen wij u contacteren? • normale • Ernstige incidenten • grote incidenten
• Hoe kunnen wij u helpen? • Feeds, Dashboard, Mails, chat, … ? • AbuseHelper • FCCU
• Welke informatie kunnen we delen? • Gegevens • Legaal
• Kennis • ISAC
Brussels 2011
CERT.be
29
ISAC “Information Sharing and Analysis Centre” Plaats waar mensen met dezelfde interesses / achtergrond informatie en kennis kunnen delen, zelfs gevoelige info. Hoofd activiteit : meetings met presentatie en debat, drie keer per jaar Onderhevig aan een klein aantal regels Logistiek en secretariaat wordt verzorgd door de medewerkers van CERT.be
Brussels 2011
CERT.be
30
Traffic Light Protocol Het 'Traffic Light Protocol' of kortweg TLP (wat als 'verkeerslicht protocol' zou kunnen vertaald worden) is ontworpen om het uitwisselen van informatie te controleren en aan te moedigen. RED Informatie RED (rood) is beperkt tot mensen aanwezig op een vergadering, of tot een directe ontvanger van gelijk welk vorm van mail (elektronisch of niet) die deze informatie bevat. AMBER AMBER (oranje) informatie kan intern worden verspreidt binnen de organisatie van de ontvanger op een 'need-to-know' basis. De afzender heeft het recht om de limieten van deze verspreiding te bepalen. GREEN GREEN informatie (groen) mag op grote schaal verspreid worden binnen een gemeenschap. Het is echter niet toegestaan om het ze op het Internet te publiceren of verder te verspreiden buiten de gemeenschap. WHITE WHITE (wit) Er staat geen beperking op het verspreiden van deze informatie – let op: wel binnen de grenzen van de wet (denk b.v. aan auteursrechten). Brussels 2011
CERT.be
31
Dank U wel! Vragen?
[email protected] https://www.cert.be/ Brussels 2011
CERT.be
