czym jest n6?

Platforma n6 to stworzony przez CERT Polska system służący do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom, administratorom i operatorom sieci.

Dostęp do n6 jest bezpłatny i nie wymaga instalacji jakichkolwiek sond w sieci.

Źródłem danych systemu n6 jest wiele kanałów dystrybucyjnych dostarczających informacje o zdarzeniach bezpieczeństwa. Zdarzenia te wykrywane są w wyniku działań systemów wykorzystywanych przez różne podmioty zewnętrzne (takie jak inne CERTy, organizacje bezpieczeństwa, producentów oprogramowania, niezależnych ekspertów od bezpieczeństwa itp.) oraz systemów monitorowania obsługiwanych przez CERT Polska. Większość informacji aktualizowanych jest codziennie, niektóre częściej.

Dodatkowym źródłem informacji o sieciach klienta mogą być wyniki działań operacyjnych CERT Polska. Dotyczy to również działań operacyjnych innych podmiotów – dane otrzymane jednorazowo z zewnątrz, za zgodą źródła mogą być dodawane do systemu w celu redystrybucji.

n6 schemat

n6 można porównać do sortowni incydentów, którego sercem jest silnik n6 (n6 engine). Dzięki rozbudowanemu systemowi tagowania, incydenty mogą być przypisywane do konkretnych podmiotów, których dotyczą – np. na podstawie adresów IP i numerów AS. Dane są agregowane w skrojoną na miarę, specjalnie przygotowaną paczkę, która zachowuje oryginalny format źródła (każde źródło w oddzielnym pliku). Dodatkowo istnieje możliwość dostarczania innych informacji, takich jak np. dane o serwerach C&C nie znajdujących się w sieci klienta, ale które mogą zostać przez niego wykorzystane do wykrywania u siebie zainfekowanych komputerów.

W platformie przekazywane są informacje o źródłach ataku w postaci URLi, domen, adresów IP lub nazw złośliwego oprogramowania, a także w zależności od dostępności informacje o danych specjalnych.

Przykładowe zbiory danych znajdujące się w platformie n6:
  • złośliwe URLe
  • złośliwe oprogramowanie i inne artefakty
  • zainfekowane hosty (boty)
  • serwery C&C
  • skanowania
  • DDoS
  • ataki bruteforce
  • uczestnictwo w sieci fast flux
  • phishing
  • spam
  • dane specjalne (w wyniku działań operacyjnych CERT)
UWAGA ! Ponieważ większość danych pochodzi z systemów zewnętrznych, CERT Polska nie odpowiada za ich jakość, ani nie ponosi odpowiedzialności za sposób ich wykorzystania przez podmiot odbierający. Dane są przekazywane w postaci nie przetworzonej i mogą zawierać fałszywe alarmy. CERT Polska w ramach bezpłatnego udostępniania danych o zagrożeniach nie oferuje usług doradczych ani pomocy w interpretacji zdarzeń klienta. Weryfikacja danych zależy od odbiorcy. Dane dystrybuowane są za zgodą podmiotów, które wykryły zdarzenie. Nie ujawniamy klientom źródła, chyba, że źródło wyrazi na to zgodę.
n6

kontakt

email



CERT Polska

www | twitter | facebook