Podatność systemu teleinformatycznego to taka jego właściwość, która może być wykorzystana przez zagrożenie.

A zagrożenie to potencjalna przyczyna niepożądanego zdarzenia, które może wywołać szkodę.

Wykrywanie zagrożeń systemów teleinformatycznych na podstawie monitorowania informacji o sytuacji zewnętrznej i wewnętrznej dotyczącej bezpieczeństwa organizacji

1. Wykrywanie zbliżających się zagrożeń
Internetowe środowisko przestępcze to ogół osób i działań, wraz z ich nielegalnym rynkiem, zasadami i kanałami wymiany informacji, które są związane z takim działaniem w zakresie technologii telekomunikacyjnych, w wyniku którego osoby poza tym środowiskiem ponoszą szkodę. Znajomość tych zasad, kanałów i treści komunikacji jest niezwykle ważna w realizacji zadania zapewnienia bezpieczeństwa zasobów organizacji. Usługa, jaką świadczy ComCERT, polega na tym, że Klient wskazuje słowa kluczowe powiązane ze swoją działalnością (np. „nazwa firmy”, „nazwa serwisu Klienta”, nazwa specyficznego rozwiązania aplikacyjnego używanego przez Klienta, itp.) oraz adresy IP i adresy domenowe. Zalecamy precyzyjny wybór słów kluczowych w celu otrzymania rzeczywistych alertów. Nasi specjaliści, przeglądając aktywność wspominanych środowisk, skanują treści przez nie generowane pod kątem występowania wybranych słów kluczowych oraz adresów IP. Część tych obserwacji odbywa się w sposób automatyczny, natomiast część jest przeprowadzana „ręcznie” przez specjalistów ComCERT. W momencie pojawienia się którejś z wcześniej określonych pozycji, generowany jest raport o pojawieniu się słowa kluczowego lub adresu IP oraz o kontekście tego pojawienia. Dodatkowo,
wszelkie inne informacje, które mogą naszym zdaniem mieć wpływ na bezpieczeństwo firmy Klienta są raportowane jako ostrzeżenie.

W ramach usługi Klient otrzymuje następujące składowe:
a) natychmiastowy raport o pojawieniu się zagrożenia w monitorowanych środowiskach, wraz z podstawową interpretacją
b) konsultacje lub zaawansowana interpretacja wyników
c) cokwartalny raport zbiorczy wraz z komentarzami i zaleceniami.

W przypadku wykrycia sytuacji niebezpiecznej dla Klienta specjaliści ComCERT, oprócz odpowiedniego powiadomienia Klienta i przekazania mu kluczowych danych dla podjęcia działań zabezpieczających, dokonują udokumentowania zaistniałego przypadku w taki sposób, aby maksymalnie zwiększyć prawdopodobieństwo ustalenia rzeczywistego źródła zagrożenia i szansę na skuteczne postępowanie wyjaśniające (również na drodze prawnej). Wspominany raport kwartalny zawiera nie tylko informacje dedykowane dla Klienta, ale również informację i wyjaśnienie obserwowanych trendów. Dzięki temu jest on pomocny dla Klienta w kształtowaniu polityki bezpieczeństwa organizacji, a w szczególności analizie ryzyka dla bezpieczeństwa posiadanych zasobów.

2. Wykrywanie informacji w sieci o zaistniałych zagrożeniach
Usługa polega na podaniu przez Klienta puli jego adresów IP, system CATS (ComCERT Advanced Tool for Security) firmy ComCERT SA stale monitoruje, czy któryś z tych adresów nie stał się celem skutecznego ataku, co w praktyce czyni go zdecydowanie bardziej efektywnym w stosunku do systemów typu IDS, znacząco redukując fałszywe ostrzeżenia (tzw. false positive i false negative). Taki atak może być zupełnie niezauważalny, a nawet nieodczuwalny przez Klienta, a mimo to może być skuteczny. Konsekwencje takiego ataku mogą być odczuwalne po upływie długiego czasu. System CATS reaguje natychmiast, generując raport informujący o incydencie (ataku, zagrożeniu), podając jego podstawowe cechy oraz zalecając konkretne działania w celu obrony i usunięcia skutków ataku. Setki tysięcy komputerów w Polsce są celami skutecznych ataków, mimo stosowania przez ich właścicieli różnego rodzaju systemów bezpieczeństwa. ComCERT dysponuje na bieżąco uaktualnianą bazą danych komputerów zaatakowanych (adresów IP). Dane, które zasilają system CATS, pochodzą z wielu źródeł i są efektem monitorowania sieci wykorzystywanych do prowadzenia działalności przestępczej w Internecie, w tym sieci tworzących struktury tzw. botnetów, czyli komputerów zainfekowanych złośliwym oprogramowaniem i następnie wykorzystywanych w różnego rodzaju sieciowej działalności przestępczej, np.: wykradania haseł i poufnej korespondencji, rozsyłania spamu, rozsyłania i utrzymywania serwerów zawierających nielegalne treści, przeprowadzania ataków typu DDoS na prywatne i publiczne serwisy internetowe. Wszystkie te aktywności, w sposób naturalny mogą spowodować poważne konsekwencje dla jego właścicieli. Z prowadzonych badań wynika, że średni czas wykorzystywania komputera do powyższych celów to kilka miesięcy. Bazy danych CATS są uaktualniane w trybie ciągłym (w zależności od źródła danych – od kilkudziesięciu razy dziennie do raz na kilka dni), co daje szanse na praktycznie natychmiastową reakcję.

grafika_wykrywanie_podatnosci_zagrozenia_small