Registrácia do služby Afrodita

Všeobecné informácie k službe Afrodita [PDF]

Výhody služby MISP „Afrodita“

Konštituenti používajúci službu Afrodita založenú na platforme pre zdieľanie informácií o hrozbách škodlivého kódu (Malware  Information Sharing Platfom – MISP) získajú na pravidelnej báze prístup k informáciám o indikátoroch kompromitácie z aktuálneho diania v kybernetickom priestore. Môžu tak overovať prítomnosť indikátorov kompromitácie (Indicators of Compromise – IoC) vo svojej infraštruktúre, alebo nasadiť preventívne opatrenia, aby predišli pokusom o vykonanie predmetného útoku. Navyše si môžete dané IoC korelovať s inými udalosťami v inštancii MISP „Afrodita“, čím je možné rozšíriť kontext samotných IoC, ale aj celej udalosti. V neposlednom rade je táto služba spojená s možnosťou ukladať si dané IoC vo Vašom vlastnom nástroji (ak taký využívate), ktorý slúži práve na prácu a zdieľanie IoC.

MISP „Afrodita“ je pravidelne doplňovaný o aktuálne udalosti a IoC z aktuálneho diania v kybernetickom priestore od tímu Cyber Threat Intelligence vo Vládnej jednotke CSIRT (VJ CSIRT), čo Vám zaručuje zlepšenie prehľadu a lepšiu prípravu na potenciálne hrozby.

Systém zohľadňuje úrovne dôvery pomocou TLP – Traffic Light Protocol a umožňuje cielené zdieľanie dát na základe definovaných pravidiel. Zapojením sa do MISP-u získavate podklad pre zabezpečenie súladu s vybranými požiadavkami, najmä v oblasti  hodnotenia zraniteľností a bezpečnostných aktualizácií, vyplývajúcimi predovšetkým zo Zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe v platnom znení a jeho vykonávajúcich predpisov  a Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti v platnom znení.

Nástroj MISP ako služba Threat Intelligence od VJ CSIRT

Vládna jednotka CSIRT poskytuje svojej konštituencii prístup k inštancii nástroja MISP s názvom „Afrodita“, ktorý slúži ako úložisko a korelačný systém pre rôzne indikátory kompromitácie, ktoré do MISP-u nahráva VJ CSIRT, alebo autorizovaný konštituent. V rámci tohto nástroja je možné korelovať a prehľadávať nahraté IoC, čím vzniká centralizovaný spôsob na identifikáciu a zber IoC pre bezpečnostné potreby konštituentov.

Požiadavky na poskytovanie služby MISP „Afrodita

MISP „Afrodita“ je poskytovaná dvoma spôsobmi, ktoré si vyžadujú splnenie samostatných požiadaviek. Pripomíname, že sa tieto spôsoby navzájom nevylučujú, takže konštituent vie požiadať o jeden, alebo aj o oba spôsoby poskytovania služby MISP „Afrodita“ naraz.

Spôsoby poskytovania sú nasledujúce:

1. Priamy prístup do inštancie MISP „Afrodita

  • Informácie – Konštituent získa priamy prístup do inštancie MISP „Afrodita“ tak, že mu pracovníci VJ CSIRT vytvoria prihlasovacie údaje, pomocou ktorých sa do tejto inštancie nástroja MISP prihlási a môže tak využívať poskytovanú službu. Počet kont pre konštituenta nie je obmedzený, avšak odporúčame žiadať o vytvorenie prístupov primárne pre osoby, pre ktoré to je relevantné (napr. riešitelia incidentov, bezpečnostní analytici, atď.). Práca s nástrojom MISP si vyžaduje dávku technickej zdatnosti a aspoň základnú znalosť narábať s dátami ako sú indikátory kompromitácie, čo je potrebné vziať do úvahy pri výbere osôb, pre ktoré konštituent požiada o vytvorenie prístupu do inštancie MISP „Afrodita“.
  • Spôsob registrácie – Na adresu cti@csirt.sk odošle konštituent e-mail, v ktorom požiada o vytvorenie prístupov pre explicitne uvedený zoznam e-mailových adries[1]. Po obdržaní požiadavky sa v inštancii MISP „Afrodita“ vytvoria dané prístupy a spätne sa odošlú konštituentovi vo forme zaheslovaného ZIP adresára na kontaktnú osobu (ak je iná ako odosielateľ žiadosti, treba uviesť kontakt). Heslo od ZIP adresára bude konštituentovi doručené sekundárnym kanálom[2] (napr. cez SMS). Po prvom prihlásení pomocou vygenerovaných prístupov sa pre každé konto vyžaduje zmena hesla.
  • Podmienky registrácie – Konštituent musí mať prístup do siete GOVNET, konkrétne na webovú lokalitu https://afrodita.soc.gov.sk (port 443).

2. Prepojenie inštancie MISP „Afrodita“ a internej inštancie konštituenta

  • Informácie – Konštituent si vo svojej infraštruktúre nasadí vlastnú inštanciu nástroja MISP, ktorú má plne vo svojej správe. Následne sa táto inštancia prepojí s inštanciou MISP „Afrodita“, odkiaľ budú odosielané IoC (a iné dáta) tzv. formou PUSH, takže budú IoC odosielané smerom z MISP „Afrodita“ do internej inštancie nástroja MISP u konštituenta.
  • Spôsob registrácie – Na adresu cti@csirt.sk odošle konštituent e-mail, v ktorom požiada o prepojenie inštancií nástroja MISP. VJ CSIRT má pre tento postup vytvorený samostatný dokument, ktorý odošle konštituentovi ako odpoveď, kde je detailne popísaný postup a požiadavky, ktoré sú od konštituenta požadované na realizáciu prepojenia.
  • Podmienky registrácie – Konštituent musí mať prístup do siete GOVNET, konkrétne na webovú lokalitu https://afrodita.soc.gov.sk (port 443), a to hlavne z internej inštancie nástroja MISP. Ďalej musí spĺňať dodatočné požiadavky, ktoré sú uvedené v manuáli na prepojenie inštancií nástroja MISP (odoslané od VJ CSIRT).

Po splnení uvedených požiadaviek a úspešnej registrácii konštituenta na odber služby MISP „Afrodita“ je táto služba primerane otestovaná. VJ CSIRT je počas testovania v priamej komunikácii s konštituentom, kde sa z obidvoch strán potvrdí korektné nastavenie služby (napr. úspešný prenos IoC, úspešné prihlásenie, alebo úspešné prepojenie inštancií nástroja MISP). Všetky prípadné komplikácie týkajúce sa poskytovania tejto služby sú riešené priebežne počas testovania.

Posledná aktualizácia