Národní centrum kybernetické bezpečnosti (NCKB) a jeho vládní tým GovCERT.CZ nabízí v rámci své činnosti následující služby, které by Vaší organizaci mohly pomoci v rámci zajišťování kybernetické bezpečnosti:

Koordinační činnost a pomoc při řešení incidentů

Řešení bezpečnostních incidentů patří k hlavním činnostem vládního týmu. Při nahlášení takové události jsou jeho odborníci připraveni pomoci Vašim IT specialistům po technické stránce, včetně poskytnutí rad pro další preventivní opatření. Dojde-li ke zjištění, že některý z incidentů cílí na více subjektů, jsou připraveni koordinovat společný postup na jeho řešení. Pro tento případ se v  brněnském sídle připravuje audiovizuální konferenční centrum.

Zprostředkování kontaktů

Vzhledem k navázané rozsáhlé spolupráci napříč různými institucemi lze poskytnout pomoc při zprostředkování kontaktů jak s českými bezpečnostními týmy, tak se zahraničními partnery při řešení bezpečnostních incidentů s mezinárodním přesahem.

Sdílení dat

V rámci úzké spolupráce s různými nadnárodními organizacemi, které se zabývají kybernetickou bezpečností, získává vládní tým velké množství reportů a dat, které se týkají potenciálně infikovaných strojů v České republice. Tyto informace je Vám možné v rámci proaktivní činnosti poskytnout. Vzhledem k různé variabilitě sdílených dat jsou rozdělovány do jednotlivých projektů:

BotnetFeed – pomocí tohoto nástroje jsou zpracovávána data z převzatých C&C serverů o koncových stanicích zapojených do sítí botnetů. Pro identifikaci případně nakažené stanice ve Vašem IP rozsahu, Vám bude předána IP adresa a informace o botnetu, do kterého je začleněna. Pro detailnější analýzu nákazy je možné dodat časové známky komunikace stanice s C&C serverem, cílovou IP adresu a využívaný port. Tyto informace lze po selekci poskytovat partnerům ve formátu xml a csv.

IHAP, MDM* – v rámci těchto projektů jsou sbírány fragmenty indikátorů kompromitace (IoC) z různých serverů. Mezi nejčastější indikátory patří phishing, útoky hrubou silou, ids alerty, spam, pokusy o skenování, zneužívání zranitelností, výskyt malware a mnoho dalších typů. Na základě těchto dat jsou pro partnery připravovány krátké reporty, které vždy obsahují IP adresu kompromitovaného stroje a stručné shrnutí o jaký typ incidentu se jedná.

*IHAP = Incident Handling Automation Project, MDM = Malicious Domain Manager

Shadowserver – tento projekt se zaměřuje na průběžné vyhledávání relevantních informací o zranitelnostech v kyberprostoru a o výskytech těchto zranitelností na konkrétních IP adresách. Tým GovCERT.CZ může zprostředkovat sdílení těchto dat s Vaší organizací nebo jen samotný kontakt se zástupci Shadowserver.

Nasazování honeypotů

Síťové pasti umožňují detekovat pokusy o neautorizovaný přístup do různých systémů, monitorovat chování útočníků a vektory jejich útoků na základě známých zranitelností webových zdrojů (např. XSS, SQL injection). Pro využívání tohoto typu sledování lze nasadit síťovou past na Vámi vyhrazenou IP adresu. V případě, že se rozhodnete v této oblasti s vládním týmem spolupracovat, můžete se zapojit do vzájemného sdílení dat z těchto honeypotů.

Penetrační testování

Jednou z forem preventivních aktivit je externí penetrační testování. Jedná se o legální pokus o průnik do testovaných systémů. Výsledkem je zpráva o chybách v zabezpečení testovaného subjektu, která je určena výhradně jeho vlastníkovi, který na základě zprávy učiní příslušná bezpečnostní opatření.

Další možností je provedení skenování zranitelností podle OWASP*. Pracovníci vládního CERT týmu tak mohou prověřit bezpečnost Vašich webových stránek a upozornit na případná bezpečnostní rizika.

*OWASP = Open Web Application Security Project

Informační HUB

Na webových stránkách govcert.cz můžete nalézt informace, rešerše, analýzy a články, které se týkají aktuálních hrozeb a zranitelností se vztahem k systémům v České republice. Ty jsou doplňovány o pravidelné měsíční bulletiny, které shrnují významné bezpečnostní incidenty u nás i ze zahraničí.

V současnosti je připravován i neveřejný informační portál, kde budou smluvním partnerům a spolupracujícím organizacím kromě sdílených dat poskytovány i další informace a hlubší analýzy ve vztahu k jejich systémům.

Vzdělávání a výzkumná činnost

Pracovníci NCKB mohou připravit školení či přednášky na různá témata (technické i legislativní) z oblasti kybernetické bezpečnosti.

Forenzní laboratoř a SCADA laboratoř

Odborníci z vládního týmu se také zabývají forenzní analýzou. V případě, že již došlo z jakéhokoliv důvodu ke kompromitaci stroje ve Vaší instituci, nebo máte odůvodněné podezření, že k této kompromitaci mohlo dojít, je možné tuto událost z technického hlediska vyšetřit ve forenzní laboratoři.

GovCERT.CZ nabízí spolupráci i v oblasti technických měření a analýz industriálních a řídicích systémů, pro kterou je pak v objektu NCKB vybudovaná SCADA laboratoř.

Pokud máte o kteroukoliv nabízenou službu zájem, neváhejte se na nás obrátit, viz kontakty.