Systém Warden představuje způsob efektivního sdílení informací o detekovaných událostech (hrozbách). V současné době je vyvíjen, testován a provozován především pro potřeby sítě národního výzkumu a vzdělávání CESNET2, kterou provozuje sdružení CESNET, pro jeho členy a další zapojené instituce. V blízké budoucnosti je však plánován rozvoj systému Warden jako otevřeného projektu.
Mnohé CERT/CSIRT týmy se v současné době intenzivně věnují provozu a vývoji užitečných nástrojů a systémů v oblasti monitorování síťového provozu, služeb a odhalování jejich anomálií. Tyto nástroje bývají založeny na bázi NetFlow, IDS, honeypotů, analýzy logů atd. Jejich výstupy pak CERT/CSIRT týmy používají pro svou potřebu a zabezpečení své sítě. Tato data a informace by ale mohla být využita i dalšími bezpečnostními týmy působícími v jiných sítích. Data ale nejsou v současné době dostupná a týmy je ani zpřístupnit nemohou, protože není dostupný jednoduchý systém pro jejich efektivní a bezpečné sdílení.
Bezpečnostní týmy tak stojí před nepříjemných dilematem. Data mohou buď rozeslat správcům, případně bezpečnostním týmům sítí, kterých se dotýkají. Dále je mohou „zahodit“, nebo v lepším případě zaslat do velkých sběrných míst typu Shadowserver, Mynetwatchman, Team Cymru atd. První cesta, rozeslání relevantním správcům, je velmi náročná a může vytvořit tolik další režie, kterou nebude dotčený tým schopen s rozumnými náklady zvládnout. Druhá cesta, zahození dat, znamená neefektivní plýtvání užitečnými daty a v horším případě i ignorování rostoucí bezpečnostní hrozby. Třetí cesta, sběrné místo, představuje nouzové řešení přinášející četná negativa, které musí týmy pečlivě zvážit. Jaká data je do podobných míst možné a vhodné zaslat? Existuje záruka, že bude s daty vhodně nakládáno? Nebude zbytečně docházet ke zpožďování a zkreslování?
V této situaci přichází ke slovu systém Warden, který umožňuje jednoduše a efektivně CERTS/CSIRT (obecně bezpečnostním) týmům sdílet a využívat informace o detekovaných anomáliích z provozu sítí a služeb. Správci sítí do něj mohou na dobrovolné bázi zasílat data o detekovaných hrozbách (které se primárně nemusí týkat jejich sítě) a naopak si stahují data, která je zajímají a jsou užitečná pro zajištění zdraví a bezpečnosti sítě pod jejich správou.
2016 | Warden 3 se stává výchozí platformou v projektu SABU |
Q1 2015 | Vydání balíčků Warden 3.0 |
Q4 2014 | Vydání balíčků Warden 2.2 | ||
Q3 2014 | Vytvoření flexibilního datového formátu IDEA |
Q4 2013 | Vydání balíčků Warden 2.1 | ||
Q3 2013 | Vydání balíčků Warden 2.0 |
Q1 2012 | Vydání balíčků Warden 1.2.0 | ||
Q1 2012 | Vydání balíčků Warden 1.1.0 | ||
Q1 2012 | Vydání testovacího balíčku Warden 0.1.0 beta |
Q3 2011 | Začátek projektu Warden |
Díky datům ze systému Warden lze posílit obranu vlastní sítě několika způsoby. Jedním z nich je využíti dat nástroji třetích stran, jako je fail2ban. V tomto případě jsou v nástroji využita data o detekovaných útocích v jiných zapojených sítích a útočníci jsou preventivně zablokováni ještě před útokem na vlastní síť. V obecném pohledu pak lze systém Warden použít jako “český” blacklist pro v síti používané nástroje.
Data ze systému Warden lze také použít pro hledání napadený a špatně nakonfigurovaných strojů ve vlastní síti. Dobrým příkladem je využití dat z honeypotů ostatních zapojených organizací. V nich lze hledat IP adresy strojů z vlastní sítě a vůči nim poté podniknout patřičná opatření. Obecně lze hledat jakékoliv události, kde jsou IP adresy z rozsahu vlastní sítě v pozici útočníka.
Data ze systému Warden je možné využít mimo běžných provozních aplikací také k experimentálním a výzkumným účelům. Velké množství dat je ideální pro hledání a ověřování různorodých korelací mezi událostmi. Například lze ověřovat souvislosti mezi útoky na jednotlivé instituce a získat tak podstatně větší obraz aktivity útočníků. Další možností je vytvoření reputační databáze IP adres (nebo rozsahů či autonomních systémů).
Zajímavou aplikací je i experimentální detektor p2p botnetů. Ten každou adresu komunikující s určitým množstvím známých botů označí za pravděpodobného bota a postupně tak odhaluje celou síť. Pro počáteční sadu známých botů byly použity adresy hlášené jako zdroje útoků v systému Wardenu.