Systém Warden představuje způsob efektivního sdílení informací o detekovaných událostech (hrozbách). V současné době je vyvíjen, testován a provozován především pro potřeby sítě národního výzkumu a vzdělávání CESNET2, kterou provozuje sdružení CESNET, pro jeho členy a další zapojené instituce. V blízké budoucnosti je však plánován rozvoj systému Warden jako otevřeného projektu.

Mnohé CERT/CSIRT týmy se v současné době intenzivně věnují provozu a vývoji užitečných nástrojů a systémů v oblasti monitorování síťového provozu, služeb a odhalování jejich anomálií. Tyto nástroje bývají založeny na bázi NetFlow, IDS, honeypotů, analýzy logů atd. Jejich výstupy pak CERT/CSIRT týmy používají pro svou potřebu a zabezpečení své sítě. Tato data a informace by ale mohla být využita i dalšími bezpečnostními týmy působícími v jiných sítích. Data ale nejsou v současné době dostupná a týmy je ani zpřístupnit nemohou, protože není dostupný jednoduchý systém pro jejich efektivní a bezpečné sdílení.

Bezpečnostní týmy tak stojí před nepříjemných dilematem. Data mohou buď rozeslat správcům, případně bezpečnostním týmům sítí, kterých se dotýkají. Dále je mohou „zahodit“, nebo v lepším případě zaslat do velkých sběrných míst typu Shadowserver, Mynetwatchman, Team Cymru atd. První cesta, rozeslání relevantním správcům, je velmi náročná a může vytvořit tolik další režie, kterou nebude dotčený tým schopen s rozumnými náklady zvládnout. Druhá cesta, zahození dat, znamená neefektivní plýtvání užitečnými daty a v horším případě i ignorování rostoucí bezpečnostní hrozby. Třetí cesta, sběrné místo, představuje nouzové řešení přinášející četná negativa, které musí týmy pečlivě zvážit. Jaká data je do podobných míst možné a vhodné zaslat? Existuje záruka, že bude s daty vhodně nakládáno? Nebude zbytečně docházet ke zpožďování a zkreslování?

V této situaci přichází ke slovu systém Warden, který umožňuje jednoduše a efektivně CERTS/CSIRT (obecně bezpečnostním) týmům sdílet a využívat informace o detekovaných anomáliích z provozu sítí a služeb. Správci sítí do něj mohou na dobrovolné bázi zasílat data o detekovaných hrozbách (které se primárně nemusí týkat jejich sítě) a naopak si stahují data, která je zajímají a jsou užitečná pro zajištění zdraví a bezpečnosti sítě pod jejich správou.

• vytvoření jednoduchého, robustního a bezpečného systému pro sdílení informací
• vývoj navazujících komponent, které umožní využití dat (např. odesílající klienti, odebírající klienti, vizualizace a korelace dat)
• zvýšení bezpečnosti sítě CESNET2
  • podpora procesů incident handling a incident response bezpečnostních týmů působících v sítích připojených do CESNET2 a týmu CESNET-CERTS
  • využití dat při aktivní obraně sítí a služeb
  • zjistit možnosti analýzy dat, ověření jejich vypovídací hodnoty a užitečnosti při aktivní obraně sítí a služeb
• prohloubení spolupráce, komunikace a sdílení informací mezi jednotlivými bezpečnostními týmy a organizacemi
• propojení s podobnými systémy pro sdílení informací vyvíjenými v současné době ve světě

Díky datům ze systému Warden lze posílit obranu vlastní sítě několika způsoby. Jedním z nich je využíti dat nástroji třetích stran, jako je fail2ban. V tomto případě jsou v nástroji využita data o detekovaných útocích v jiných zapojených sítích a útočníci jsou preventivně zablokováni ještě před útokem na vlastní síť. V obecném pohledu pak lze systém Warden použít jako “český” blacklist pro v síti používané nástroje.

Data ze systému Warden lze také použít pro hledání napadený a špatně nakonfigurovaných strojů ve vlastní síti. Dobrým příkladem je využití dat z honeypotů ostatních zapojených organizací. V nich lze hledat IP adresy strojů z vlastní sítě a vůči nim poté podniknout patřičná opatření. Obecně lze hledat jakékoliv události, kde jsou IP adresy z rozsahu vlastní sítě v pozici útočníka.

Data ze systému Warden je možné využít mimo běžných provozních aplikací také k experimentálním a výzkumným účelům. Velké množství dat je ideální pro hledání a ověřování různorodých korelací mezi událostmi. Například lze ověřovat souvislosti mezi útoky na jednotlivé instituce a získat tak podstatně větší obraz aktivity útočníků. Další možností je vytvoření reputační databáze IP adres (nebo rozsahů či autonomních systémů).

Zajímavou aplikací je i experimentální detektor p2p botnetů. Ten každou adresu komunikující s určitým množstvím známých botů označí za pravděpodobného bota a postupně tak odhaluje celou síť. Pro počáteční sadu známých botů byly použity adresy hlášené jako zdroje útoků v systému Wardenu.