Jednym z podstawowych źródeł wiedzy o stopniu bezpieczeństwa IT organizacji jest obserwacja jej otoczenia internetowego i wyszukiwanie anomalii w ruchu oraz symptomów działań przestępczych, w tym planowanych. Obserwacja dużej liczby potencjalnych źródeł takich informacji, konieczność posiadania możliwości dotarcia do głębokich warstw darknetu, często o bardzo ograniczonym dostępie, wymaga specjalistycznej wiedzy. Ponadto informacje te pochodzą z wymiany lub zakupu danych od specjalistycznych podmiotów na świecie, w tym CERT-ów. Wreszcie, każdy CERT rozbudowuje własną sieć sond i sink-holi.
ComCERT oferuje usługę dostarczania takich danych. W jej ramach znajdują się następujące komponenty:
- Monitorowanie bezpieczeństwa (w ramach usługi powiadamiamy Klientów automatycznie na podstawie danych spływających z systemów, lub, w wersji rozszerzonej, ręcznie po analizie przez specjalistę ComCERT):
- monitorowanie infekcji na podstawie:
- własnych sinkholi
- danych pozyskiwanych w wyniku wymiany z innymi CERT-ami
- danych kupowanych komercyjnie
- monitorowanie i analiza kampanii spamowych. Identyfikacja kampanii spamowej w ciągu kilkunastu minut od jej początku. Jeśli kampania zawiera jakiekolwiek szkodliwe elementy – ostrzeganie Klienta o tym fakcie
- monitorowanie i obsługa kampanii phishingowych (identyfikacja kampanii phishingowych, zdejmowanie stron phishingowych w wyniku własnych identyfikacji oraz na zlecenie Klientów)
- monitorowanie pojawień się słów kluczowych Klientów w serwisach, które mogą wskazywać na zaistniałe lub planowane ataki
- monitorowanie dyskusji na podziemnych forach internetowych, które mogą wskazywać na działania związane z pozyskaniem know-how lub planowanymi akcjami skierowanymi przeciwko naszym Klientom.
- Pozyskiwanie danych autoryzacyjnych (PII):
- pozyskiwanie informacji o danych autoryzacyjnych Klientów i pracowników naszych Klientów. Nowy Klient może otrzymać dane dotyczące informacji sprzed okresu współpracy
- [dla banków] pozyskiwanie kont mułów
- [dla banków] pozyskiwanie ofert sprzedaży rachunków bankowych w celach przestępczych.
- [dla banków] Pozyskiwanie informacji o ofertach sprzedaży wykradzionych kart płatniczych z forów/sklepów przestępczych i innych źródeł. Nowy Klient otrzymuje komplet informacji o wszystkich wykrytych przez ComCERT kartach płatniczych dotyczących banku działającego w Polsce z okresu 1 roku przed rozpoczęciem współpracy
- Monitorowanie słabości systemowych:
- aktywne śledzenie kilkunastu źródeł informacji o zagrożeniach i słabościach systemowych
- możliwość dostosowania powiadamiania na podstawie „profilu technologicznego” Klienta (również ustalanego we własnym zakresie, na podstawie obserwowanej ekspozycji Klienta)
- aktywny monitoring zagrożeń dla Klienta na podstawie jego ekspozycji w sieci (np.: na podstawie otwartych portów).
- Przekazywanie informacji o zagrożeniach i incydentach na podstawie informacji uzyskanych od innych zespołów CERT, grup wymieniających informacje o zagrożeniach (np. APWG) oraz pozyskanych od naszych Klientów.
- Security NewsLetter (dwutygodnik dla naszych Klientów o bieżących zagrożeniach, incydentach, itp., przeznaczony jest w szczególności dla dużych organizacji).
Dostarczanie feedów TI jest usługą abonamentową. Dane nie wymagające natychmiastowej reakcji mogą być przekazywane w określonych odstępach czasu (np. co 6 lub 24 godziny). Przesyłanie danych odbywa się bezpiecznym kanałem (najczęściej zaszyfrowanym PGP) w postaci maila do osób odpowiedzialnych za obsługę incydentów. Jest również możliwość przesyłania danych w STIX/TAXII, co umożliwia importowanie ich bezpośrednio do narzędzi bezpieczeństwa IT Klienta.
Całkowicie automatyczne elementy usługi są przekazywane do Klienta w trybie 24/7. Te elementy, które wymagają częściowej obróbki ręcznej (weryfikacja false-positive lub interakcja z dysponentem danych) mogą być oferowane w trybie 24/7 lub 8/5.