Analiza cyberzagrożeń i wymiana informacji oraz ostrzeżeń na globalną skalę, to cel projektu SISSDEN, realizowanego przez międzynarodowe konsorcjum firm i instytucji badawczych. Instytut badawczy NASK jest koordynatorem konsorcjum. Projekt jest finansowany w ramach programu ramowego UE Horyzont 2020. Pierwsza, testowa instalacja została właśnie uruchomiona. Budżet projektu wynosi ponad 6 mln euro.
Sieć będzie się składała przede wszystkim z tzw. honeypotów (ang. honey pot - garnek z miodem), czyli wirtualnych serwerów, udających zwykły użytkowy obiekt, np. serwer poczty elektronicznej lub serwer obsługujący dane firmy. Honeypot jest pułapką na automaty, próbujące połączyć się z jak największą liczbą użytkowników, np. rozsyłające spam lub rozprowadzające wirusy. Honeypot rejestruje próby połączeń i zapisuje jak najwięcej danych na ich temat, aby wykryć źródło zagrożenia.
Docelowo ma powstać co najmniej 100 sensorów, czyli serwerów, a liczymy, że liczbę tę uda się co najmniej podwoić. Sensory znajdą się w każdym z krajów członkowskich UE i nie tylko. Każdy z nich ma wykorzystywać kilka honeypotów różnych typów oraz inne mechanizmy wykrywania. Przewidujemy też użycie darknetów - uproszczonych honeypotów, które nie symulują funkcji serwera a jedynie rejestrują próby połączeń. Dla każdego z typów pułapek opracowujemy metody rejestracji, klasyfikacji i analizy zagrożeń. Wszystko ma działać w sposób automatyczny.
Polski instytut jest w ramach projektu odpowiedzialny głównie za prace analityczne. Z naszego punktu widzenia, jako instytutu badawczego, najistotniejsze są badania istniejących i nowopowstających typów szkodliwego oprogramowania oraz tworzenie narzędzi analitycznych, które są w stanie dokonywać klasyfikacji w sposób automatyczny. Szczególnie ważne jest to, aby były to narzędzia możliwie uniwersalne, mogące służyć do badania malware’u również po zakończeniu projektu lub w ramach innych inicjatyw.
Dzięki danym zebranym z systemu honeypotów możliwe będzie szybkie reagowanie na zagrożenia, w szczególności nieodpłatne informowanie krajowych zespołów CERT i operatorów sieci, z których przychodzi spam lub malware. Administrator sieci dowie się, że w jego infrastrukturze działa bot i będzie w stanie go unieszkodliwić.
Równie ważnym zadaniem jest analizowanie botnetów, czyli sieci botów, kontrolowanych przez cyberprzestępców. Dane, uzyskane dzięki honeypotom, będą analizowane pod kątem odkrywania i badania celów nowych rodzin botnetów (czyli nowych programów, które służą do kontroli przejętych urządzeń), co będzie stanowiło istotne wsparcie dla organów ścigania w walce z tego typu przestępczością. Z obserwacji, pozyskiwanych przez sieć, będą też korzystać analitycy bezpieczeństwa oraz naukowcy, zajmujący się problematyką zagrożeń bezpieczeństwa cyberprzestrzeni.
Czytaj też: Krajobraz bezpieczeństwa polskiego Internetu 2016. Raport CERT Polska
Drugim ważnym elementem badań jest testowanie działania złośliwego oprogramowania w kontrolowanych warunkach.
W praktyce podszywamy się pod zainfekowany komputer. Służy do tego kontrolowane środowisko, tzw. sandbox, czyli komputer, na którym działa szkodliwe oprogramowanie. To daje nam możliwość obserwowania jak dochodzi do infekcji i jakie działania wymusza botnet na podporządkowanych maszynach. Nowością będzie korzystanie z sandboxów do obserwowania działania botnetu przez dłuższy czas. W ten sposób będziemy w stanie zaobserwować zmiany w konfiguracji botnetu, przykładowo zmiany poleceń, wydawanych botom.
W ostatnich dniach kwietnia, pod koniec pierwszego roku trwania projektu, uruchomiona została instalacja testowa, składająca się z 10 sensorów, z których każdy wykorzystuje kilka honeypotów. Zbierane przez nie informacje posłużą do doskonalenia sposobów pozyskiwania, klasyfikacji i raportowania danych o zagrożeniach. Celem na najbliższy rok jest rozbudowa i udoskonalanie sieci oraz rozwój technik analitycznych. Już w przyszłym roku oczekiwane jest udostępnienie systemu pierwszym użytkownikom.
Projekt SISSDEN (Secure Information Sharing Sensor Delivery event Network) jest realizowany przez osiem instytucji: instytut badawczy NASK - lider konsorcjum, Montimage EURL (Francja), Cyberdefcon Ltd. (Wielka Brytania), Universitaet des Saarlandes (Niemcy), Deutsche Telekom AG (Niemcy), Eclexys Sagl (Szwajcaria), Poste Italiane – Società per Azioni (Włochy), Stichting The Shadowserver Foundation Europe (Holandia). Przedsięwzięcie jest finansowane w ramach programu ramowego UE Horyzont 2020, umowa nr 700176. Budżet całego projektu wynosi 6 341 775,00 EUR (w tym dofinansowanie z KE: 4 912 692,50 EUR). Prace zaplanowano na trzy lata.