Af Eskil Sørensen, 30/09/24
De fleste er bekendt med, at infrastruktur og servere på Forskningsnettet daglig bliver udsat for angreb fra internettet. Det er der intet nyt. Som Center for cybersikkerhed nævner i sin seneste vurdering af cybertruslen, som udkom i sidste uge.
”Cybertruslen er (..) et grundvilkår, som vi – særligt i et så digitaliseret land som Danmark – er nødt til at leve med. Det er tydeligt i mediebilledet, hvor bl.a. ransomware-angreb og cyberaktivistiske overbelastningsangreb har fået spalteplads.”
Mens cyberkriminalitet og cyberaktivisme er trusler får mest opmærksomhed, bl.a. fordi hændelser fra de to trusselstyper som regel er spektakulære og som regel også bliver opdaget, så er det anderledes med angrebstrafik, som ikke kan trække overskrifter med sig. Trafik som er svær at gennemskue for de ansvarlige, og fordi det kan være svært at vurdere, hvilken trafik i nettet der er legitim brug, og hvilken der stammer fra angreb eller endda kompromitterede systemer på eget net.
Dette er udfordringen for mange, også fordi det er svært at danne overblik bagudrettet, når der er sket hændelser, der kræver nærmere analyse.
Derfor har DKCERT en tjeneste, hvor netflowdata fra Forskningsnettets routere samles i en fælles, systematiseret database, hvilket giver mulighed for bl.a. hurtig dataanalyse. Det kan fx. ske tre måneder bagud i tid eller være tæt på realtids-analyse af friske data og automatisk alarmering ud fra trusselsmønstre, som kan hentes i den fælles MISP-database. Dette er omdrejningspunktet for et indlæg på DeiC-konferencen, som Ergys Kajo fra DKCERT og Niels Jensen fra DeiC holder i fællesskab. Her vil tilhørerne få indblik i, hvordan systemet opsamler og opbevarer data, ligsom får vist eksempler på mulige søgninger, og hvor hurtigt de kan gennemføres.
Men det er ikke gjort ved det.
Derfor opfordres tilhørerne til oplægget at tage egne ideer til anvendelse af databasen med, så DeiC og DKCERT kan få yderligere input til, hvordan databasen udnyttes bedst muligt.
Oplægget har titlen "Opdagelse og analyse af trusler ud fra netflowdata - nye muligheder i Forskningsnettet" og foregår på konferencen anden dag kl. 11.
Selve konferencen foregår den 29.-30. oktober i Kolding. Der er fortsat åbent for tilmeldinger.
Links:
https://www.deic.dk/da/konference/2024/program
https://www.deic.dk/da/konference/2024/tilmelding