czym jest n6?
Platforma n6 to stworzony przez CERT Polska system służący do gromadzenia, przetwarzania i przekazywania informacji o zdarzeniach bezpieczeństwa w sieci. W ciągu jednego roku przez platformę przetwarzane są dziesiątki milionów zdarzeń bezpieczeństwa z Polski i całego świata. n6 funkcjonuje w pełni automatycznie. Jej celem jest efektywne, niezawodne i szybkie dostarczenie dużych ilości informacji o zagrożeniach bezpieczeństwa właściwym podmiotom: właścicielom, administratorom i operatorom sieci.
Dostęp do n6 jest bezpłatny i nie wymaga instalacji jakichkolwiek sond w sieci.
Źródłem danych systemu n6 jest wiele kanałów dystrybucyjnych dostarczających informacje o zdarzeniach bezpieczeństwa. Zdarzenia te wykrywane są w wyniku działań systemów wykorzystywanych przez różne podmioty zewnętrzne (takie jak inne CERTy, organizacje bezpieczeństwa, producentów oprogramowania, niezależnych ekspertów od bezpieczeństwa itp.) oraz systemów monitorowania obsługiwanych przez CERT Polska. Większość informacji aktualizowanych jest codziennie, niektóre częściej.
Dodatkowym źródłem informacji o sieciach klienta mogą być wyniki działań operacyjnych CERT Polska. Dotyczy to również działań operacyjnych innych podmiotów – dane otrzymane jednorazowo z zewnątrz, za zgodą źródła mogą być dodawane do systemu w celu redystrybucji.

n6 można porównać do sortowni incydentów, którego sercem jest silnik n6 (n6 engine). Dzięki rozbudowanemu systemowi tagowania, incydenty mogą być przypisywane do konkretnych podmiotów, których dotyczą – np. na podstawie adresów IP i numerów AS. Dane są agregowane w skrojoną na miarę, specjalnie przygotowaną paczkę, która zachowuje oryginalny format źródła (każde źródło w oddzielnym pliku). Dodatkowo istnieje możliwość dostarczania innych informacji, takich jak np. dane o serwerach C&C nie znajdujących się w sieci klienta, ale które mogą zostać przez niego wykorzystane do wykrywania u siebie zainfekowanych komputerów.
W platformie przekazywane są informacje o źródłach ataku w postaci URLi, domen, adresów IP lub nazw złośliwego oprogramowania, a także w zależności od dostępności informacje o danych specjalnych.
Przykładowe zbiory danych znajdujące się w platformie n6:- złośliwe URLe
- złośliwe oprogramowanie i inne artefakty
- zainfekowane hosty (boty)
- serwery C&C
- skanowania
- DDoS
- ataki bruteforce
- uczestnictwo w sieci fast flux
- phishing
- spam
- dane specjalne (w wyniku działań operacyjnych CERT)