Testovanie dát threat intelligence pri ochrane na úrovni DNS
Príspevok približuje kľúčové výsledky spolupráce spoločnosti ESET a Whalebone, ktoré vznikli v rámci testovania systému ESET Threat Intelligence a ochrany na úrovni DNS (domain name system) poskytovaného spoločnosťou Whalebone. Počas testovania boli používané dáta (data feed) o nebezpečných doménach a ich kategóriách (IoC) pri blokovaní na úrovni DNS na vzorke takmer 100 000 internetových pripojení v Českej republike a na Slovensku, čo predstavuje odhadom do pol milióna koncových zariadení. Informácie a štatistiky o počte blokovaní, o „false positives” a porovnaní s inými typmi zdrojov IoC môžu poskytnúť podklad pre zamyslenie nad stavom bezpečnosti vzorky internetových pripojení, o spôsobe ochrany pred cielenými útokmi na niektoré spoločnosti alebo o iných aspektoch bezpečnosti v internete.
Na rozdiel od informácií, ktoré môžu poskytnúť automatizované skenery zraniteľností pri testovaní z internetu, ide o odlišný a hlbší pohľad na stav koncových zariadení v sledovanej vzorke, ktoré sú skryté v podnikových, domácich sieťach resp. v sieťach internetových poskytovateľov. Rovnako testovanie umožnilo Whalebone vyhodnotiť mieru rozšírenia aktuálnych hrozieb na zariadeniach, ktoré nie sú chránené voči hrozbám pokrytým v testovanom data feede.
Pre objasnenie problematiky budú poskytnuté informácie o:
- získavaní a spôsobe vytvárania IoC,
- členení pre DNS ochranu na základné kategórie malware, phishing a blacklist,
- spôsobe poskytovania IoC,
- použití spomenutých dát v rámci viacúrovňovej ochrany,
- fungovaní ochrany na úrovni DNS a jej účinnosti a dosahu,
- typoch incidentov pri ochrane na úrovni DNS,
- ich množstve a miere false positives pri jej použití.
Ing. Peter Dekýš, PhD.
Pracuje jako konzultant a ředitel ESET Services, ESET spol. s r.o. Bratislava. Studium ukončil na Elektrotechnické fakultě na Slovenské technické univerzitě v Bratislavě. Později pracoval jako pedagog na STU Bratislava a následně ve více společnostech, kde se věnoval informační bezpečnosti, počítačovým sítím a dalším řešením informačních technologií. Od roku 2009 v ESET řídí služby informační bezpečnosti pro externí zákazníky, interní bezpečnosti a jako konzultant se podílí na vybraných auditech a konzultačních projektech řízení informační bezpečnosti. V poslední době se věnoval rozběhu služeb Threat Intelligence v ESET.
Mgr. Jakub Daubner, PhD.
V roce 2008 ukončil magisterské studium na Fakultě matematiky, fyziky a informatiky, Univerzita Komenského, Bratislava, v oborech Matematické metody v informatice a Umělá inteligence. V roce 2012 ukončil PhD. Studium na Fakultě řízení a informatiky, Žilinská univerzita, se zaměřením Aplikovaná informatika. Již během studia v roce 2009 nastoupil do ESET-u na pozici Analytik infiltrací. Od roku 2011 je vedoucí oddělení Interní systémy, které patří do technologické subdivize Core Research and Threat Detection společnosti ESET. Toto oddělení se zaměřuje zejména na výzkum a vývoj nástrojů a automatických systémů pro Viruslab. V rámci uvedeného oddělení odpovídá i za vývoj ESET Threat Intelligence.
Mgr. Robert Šefr
Studium Faulty Informatiky Masarykovy univerzity ukončil v roce 2009 obhajobou diplomové práce zaměřené na reverzní inženýrství malwaru. Následně nastoupil na pozici bezpečnostniho konzultanta ve společnosti Comguard, kde byl zodpovědný za projekty spojené s penetračními testy, ochranou koncových bodů, perimetru a později i vyhodnocování bezpečnostních incidentů skrze SIEM a vulnerability management. Zároveň s vedením týmu konzultantů se zapojil jako analytik do týmu CSIRT.cz, kde se dva roky věnoval automatizaci zpracování bezpečnostních incidentů. Následně začal rozvíjet myšlenku ochrany klientského DNS provozu a založil společnost Whalebone, která je aktuálně jeho prací na plný úvazek i koníčkem.
Tel: +420 737 215 220
E-mail: