Britskí kybernetickí obrancovia plánujú výrazne zvýšiť bezpečnosť vládnych sietí v krajine silným národným presadzovaním sieťových protokolov.
„To je divné, dobre? Toto nie je niečo, čo bežne uvidíte na konferencii o kybernetickej bezpečnosti. Tomu sa hovorí dáta a dôkazy,“ povedal Dr Ian Levy, technický riaditeľ pre kybernetickú bezpečnosť a odolnosť v UK. Government Communications Headquarters (GCHQ) a teraz technický riaditeľ nového Národného centra kybernetickej bezpečnosti Spojeného kráľovstva (NCSC).
Levy je zodpovedný za implementáciu technických aspektov národnej stratégie kybernetickej bezpečnosti Spojeného kráľovstva na roky 2016 – 2021, ktorej zverejnenie sa očakáva v priebehu niekoľkých týždňov.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
Predmetné dôkazy preukazujú účinnosť DMARC, protokol Domain Message Authentication Reporting and Conformance, ktorý je navrhnutý tak, aby pomáhal eliminovať spam a iné útoky na spoofing e-mailov.
DMARC je jednou zo stratégií, ktoré Levy používa na posilnenie domén a sietí .gov.uk proti kybernetickým útokom.
Ako počiatočný test Levy implementoval DMARC pre doménu najvyššej úrovne .gov.uk. Akýkoľvek e-mail, ktorý údajne pochádza z adresy @gov.uk, ale pochádza mimo ich sietí, bol potom presmerovaný na Levyho vlastný účet.
Za prvých 24 hodín dostal približne 58 000 e-mailov, pričom takmer všetky tvrdili, že sú z [email protected]. Približne rovnaký počet bol prijatý na druhý deň. Na tretí deň však tento počet klesol len na štyri. Po jednom ďalšom hromadnom pokuse na štvrtý deň sa podvodník už nikdy nevidel, pravdepodobne preto, že videl, že už nefunguje.
Správa pre národnú konferenciu Austrálskej asociácie informačnej bezpečnosti (AISA) v stredu v Sydney bola strohá.
„Ak má niekto v tejto miestnosti ako odborník na kybernetickú bezpečnosť e-mailovú doménu a nemá DMARC, mali by ste sa za seba hanbiť,“ povedal Levy.
„Je to príliš tvrdé? Prepáč."
Levy plánuje zaviesť DMARC do všetkých 5 738 subdomén pod doménou .gov.uk, čo zahŕňa miestne orgány, ako aj národné vládne agentúry.
Levy tiež nastavil procesy na rýchle odstránenie známych phishingových stránok zo systému doménových mien (DNS) Spojeného kráľovstva.
Stredná doba prevádzky phishingových stránok fyzicky hostovaných v Spojenom kráľovstve sa skrátila z 28 hodín na dve hodiny. Stredná doba prevádzky stránok hosťujúcich malvér s webovým vkladom sa znížila z 500 hodín na 27 hodín. A stredná doba prevádzky stránok kdekoľvek na svete, ktoré sa pokúšajú využívať britské vládne značky na phishing, sa skrátila zo 49 hodín na päť hodín.
„A to je len začiatok. Ešte sme poriadne nezačali,“ povedal Levy.
„Ukazujem vám, že môžeme mať vplyv. Všetky veci, o ktorých predpokladáme, že sú axiomatické, pretože máme internet – ako DDoS [distribuované odmietnutie služby], ako phishing, ako malvér – môžeme ovplyvniť,“ povedal.
„Som v procese budovania jediného systému DNS Anycast pre celý verejný sektor Spojeného kráľovstva a prinútim každého, aby ho používal. Môj DNS bude používať celý verejný sektor. To mi dáva dve veci. Dáva mi to jediný bod, aby som z toho odfiltroval tie ****. Je to odborný výraz, prepáčte...
„Ďalšia vec, ktorá mi hovorí, je, ako sme na tom s pwned, pretože dostávam všetky rekurzívne [DNS] rozlíšenia. Takže viem, že toto oddelenie malo 400 žiadostí o túto malvérovú doménu. Asi by sme s tým mali ísť niečo urobiť."
Levyho plány tiež zahŕňajú „opravu“ protokolu hraničnej brány (BGP) používaného na smerovanie paketov, takže nie je možné sfalšovať IP adresu a eliminovať Spojené kráľovstvo ako zdroj DDoS útokov na 3. vrstve; poskytnúť návod na implementáciu protokolu SS7, ktorý smeruje spojenia mobilných telefónov cez telcos; a zabezpečiť, aby všetky miestne orgány smerovali návštevnosť svojich webových stránok cez jediný firewall webovej aplikácie (WAF) v cloude.
NCSC potom plánuje požiadať poskytovateľov internetových služieb (ISP), aby používali DNS a smerovacie techniky na ochranu svojich zákazníkov.
Pri prvom oznámení pred dvoma mesiacmi to viedlo k obavám, že Spojené kráľovstvo implementuje Veľký britský firewall, podľa vzoru čínskeho cenzúrneho systému známeho ako Veľký čínsky firewall.
GCHQ však zdôraznilo, že poskytovatelia internetových služieb by sa museli zapojiť do schémy a že koncoví zákazníci by sa možno dokonca mohli odhlásiť z filtrovania svojich poskytovateľov internetových služieb.
NCSC začalo fungovať 3. októbra tohto roku, takmer dva roky po Austrálskom centre kybernetickej bezpečnosti (ACSC) v Canberre, má však iné poslanie.
ACSC zahŕňa zamestnancov z austrálskeho riaditeľstva signálov (ASD), ale aj z austrálskej spravodajskej služby a bezpečnosti Organizácia (ASIO), Austrálska federálna polícia (AFP) a Austrálska komisia pre kriminálne spravodajstvo (ACIC) iní.
NCSC áno nie zahŕňa ekvivalenty Spojeného kráľovstva z oblasti bezpečnosti a presadzovania práva, MI5 a Národnej kriminálnej agentúry (NCA) a zostáva súčasťou GCHQ a nie je samostatnou agentúrou.
„NCSC spája a nahrádza CESG (oddelenie informačnej bezpečnosti GCHQ), Centrum pre kybernetické hodnotenie (CCA), Počítačové Emergency Response Team UK (CERT UK) a kybernetické povinnosti Centra pre ochranu národnej infraštruktúry (CPNI),“ webová stránka NCSC vysvetľuje.
Namiesto toho bude NCA spolupracovať s GCHQ prostredníctvom novej jednotky s názvom Bunka spoločných operácií (JOC).
NCSC bude tiež oveľa väčšia ako ACSC s približne 700 zamestnancami.