====== O projektu ====== Systém Warden představuje způsob efektivního sdílení informací o detekovaných událostech (hrozbách). V současné době je vyvíjen, testován a provozován především pro potřeby sítě národního výzkumu a vzdělávání CESNET2, kterou provozuje sdružení [[http://www.cesnet.cz|CESNET]], pro jeho členy a další zapojené instituce. V blízké budoucnosti je však plánován rozvoj systému Warden jako otevřeného projektu. Mnohé CERT/CSIRT týmy se v současné době intenzivně věnují provozu a vývoji užitečných nástrojů a systémů v oblasti monitorování síťového provozu, služeb a odhalování jejich anomálií. Tyto nástroje bývají založeny na bázi NetFlow, IDS, honeypotů, analýzy logů atd. Jejich výstupy pak CERT/CSIRT týmy používají pro svou potřebu a zabezpečení své sítě. Tato data a informace by ale mohla být využita i dalšími bezpečnostními týmy působícími v jiných sítích. Data ale nejsou v současné době dostupná a týmy je ani zpřístupnit nemohou, protože není dostupný jednoduchý systém pro jejich efektivní a bezpečné sdílení. Bezpečnostní týmy tak stojí před nepříjemných dilematem. Data mohou buď rozeslat správcům, případně bezpečnostním týmům sítí, kterých se dotýkají. Dále je mohou „zahodit“, nebo v lepším případě zaslat do velkých sběrných míst typu Shadowserver, Mynetwatchman, Team Cymru atd. První cesta, rozeslání relevantním správcům, je velmi náročná a může vytvořit tolik další režie, kterou nebude dotčený tým schopen s rozumnými náklady zvládnout. Druhá cesta, zahození dat, znamená neefektivní plýtvání užitečnými daty a v horším případě i ignorování rostoucí bezpečnostní hrozby. Třetí cesta, sběrné místo, představuje nouzové řešení přinášející četná negativa, které musí týmy pečlivě zvážit. Jaká data je do podobných míst možné a vhodné zaslat? Existuje záruka, že bude s daty vhodně nakládáno? Nebude zbytečně docházet ke zpožďování a zkreslování? V této situaci přichází ke slovu systém Warden, který umožňuje jednoduše a efektivně CERTS/CSIRT (obecně bezpečnostním) týmům sdílet a využívat informace o detekovaných anomáliích z provozu sítí a služeb. Správci sítí do něj mohou na dobrovolné bázi zasílat data o detekovaných hrozbách (které se primárně nemusí týkat jejich sítě) a naopak si stahují data, která je zajímají a jsou užitečná pro zajištění zdraví a bezpečnosti sítě pod jejich správou. ===== Cíle projektu Warden ===== * vytvoření jednoduchého, robustního a bezpečného systému pro sdílení informací * vývoj navazujících komponent, které umožní využití dat (např. odesílající klienti, odebírající klienti, vizualizace a korelace dat) * zvýšení bezpečnosti sítě CESNET2 * podpora procesů incident handling a incident response bezpečnostních týmů působících v sítích připojených do CESNET2 a týmu CESNET-CERTS * využití dat při aktivní obraně sítí a služeb * zjistit možnosti analýzy dat, ověření jejich vypovídací hodnoty a užitečnosti při aktivní obraně sítí a služeb * prohloubení spolupráce, komunikace a sdílení informací mezi jednotlivými bezpečnostními týmy a organizacemi * propojení s podobnými systémy pro sdílení informací vyvíjenými v současné době ve světě ===== Roadmapa projektu Warden ===== ==== 2016 ==== || 2016 || Warden 3 se stává výchozí platformou v projektu SABU || ==== 2015 ==== || Q1 2015 || Vydání balíčků Warden 3.0 || ==== 2014 ==== || Q4 2014 || Vydání balíčků Warden 2.2 || || Q3 2014 || Vytvoření flexibilního datového [[https://csirt.cesnet.cz/IDEA|formátu IDEA]] || ==== 2013 ==== || Q4 2013 || Vydání balíčků Warden 2.1 || || Q3 2013 || Vydání balíčků Warden 2.0 || ==== 2012 ==== || Q1 2012 || Vydání balíčků Warden 1.2.0 || || Q1 2012 || Vydání balíčků Warden 1.1.0 || || Q1 2012 || Vydání testovacího balíčku Warden 0.1.0 beta || ==== 2011 ==== || Q3 2011 || Začátek projektu Warden || ===== Use-casy projektu Warden ===== ==== Obrana vlastní sítě před vnějšími útočníky ==== Díky datům ze systému Warden lze posílit obranu vlastní sítě několika způsoby. Jedním z nich je využíti dat nástroji třetích stran, jako je [[http://www.fail2ban.org|fail2ban]]. V tomto případě jsou v nástroji využita data o detekovaných útocích v jiných zapojených sítích a útočníci jsou preventivně zablokováni ještě před útokem na vlastní síť. V obecném pohledu pak lze systém Warden použít jako "český" blacklist pro v síti používané nástroje. ==== Odhalování napadených strojů z vlastní sítě ==== Data ze systému Warden lze také použít pro hledání napadený a špatně nakonfigurovaných strojů ve vlastní síti. Dobrým příkladem je využití dat z honeypotů ostatních zapojených organizací. V nich lze hledat IP adresy strojů z vlastní sítě a vůči nim poté podniknout patřičná opatření. Obecně lze hledat jakékoliv události, kde jsou IP adresy z rozsahu vlastní sítě v pozici útočníka. ==== Výzkumné a experimentální účely ==== Data ze systému Warden je možné využít mimo běžných provozních aplikací také k experimentálním a výzkumným účelům. Velké množství dat je ideální pro hledání a ověřování různorodých korelací mezi událostmi. Například lze ověřovat souvislosti mezi útoky na jednotlivé instituce a získat tak podstatně větší obraz aktivity útočníků. Další možností je vytvoření reputační databáze IP adres (nebo rozsahů či autonomních systémů). Zajímavou aplikací je i experimentální detektor p2p botnetů. Ten každou adresu komunikující s určitým množstvím známých botů označí za pravděpodobného bota a postupně tak odhaluje celou síť. Pro počáteční sadu známých botů byly použity adresy hlášené jako zdroje útoků v systému Wardenu.