Flowmon

Národní úřad pro kybernetickou a informační bezpečnost využívá Flowmon

15.10.20

NÚKIB a jeho partnerské instituce využívají schopnosti Flowmonu v oblasti detekce kybernetických hrozeb a sběru síťových dat.

Národní úřad pro kybernetickou a informační bezpečnost  je ústředním správním úřadem pro kybernetickou bezpečnost včetně ochrany utajovaných informací v oblasti informačních a komunikačních systémů a kryptografické ochrany v České republice. Vzhledem k tomu, že prostřednictvím vládního CERT koordinuje také prevenci a reakci na bezpečnostní incidenty v několika civilních institucích, byl úřad pověřen posílením kybernetické bezpečnosti na vybraných ministerstvech a také dohledem a kontrolou nad dodržováním zákona č. 181/2014 Sb. o kybernetické bezpečnosti.

„Potřebovali jsme komplexní systém, který by nám umožnil sbírat síťová metadata partnerů a zároveň detekovat anomálie v síťovém provozu,“ uvedl Stanislav Bárta, Vedoucí oddělení analýzy síťového provozu v NÚKIB.

V návaznosti na tyto požadavky bylo vybráno řešení Flowmon. NÚKIB pořídil několik samostatných instancí Flowmonu, které rozmístil v partnerských institucích a integroval do řídícího centra CERT. Díky tomu může Flowmon lokálně analyzovat data každé zapojené vládní instituce a odhalit neznámé i vnitřní hrozby, útoky typu DDoS a řadu dalších bezpečnostních incidentů. Surová data z perimetru a zachycené bezpečnostní incidenty jsou poté odeslány do řídícího centra, kde jsou dále analyzovány. 

„Porovnání bezpečnostních incidentů na centrální úrovni nám umožňuje odhalit také útoky, které by jinak nebyly považovány za nebezpečné, pokud by se na ně nahlíželo samostatně z pohledu jednotlivých partnerů,“ dodává Bárta.

Kromě schopnosti Flowmonu detekovat neznámé hrozby a podezřelou komunikaci, která většinou signalizuje kybernetické riziko, využívá NÚKIB také:

  • detekci připojení k zakázaným IP adresám
  • detekci síťové komunikace botnetu
  • detekci malware
  • detekci skenování portů
  • detekci útoků hrubou silou
  • mitigaci DDoS útoků a záznam síťového provozu pro forenzní analýzu 

Většinu z uvedených činností řeší Flowmon ADS. Využívá rozsáhlé spektrum detekčních metod, které analyzují síťový provoz z více hledisek a umožňují mu odhalit mnohem širší škálu různých kategorií škodlivého chování. Analytický engine Flowmon ADS využívá kombinaci strojového učení, heuristiky, statistiky, bezpečnostních politik a metod založených na signaturách. Flowmon doplňuje konvenční bezpečnostní nástroje NÚKIBu o inteligentní řešení umožňující detekovat hrozby v každé fázi kompromitace.

„Ochrana veřejných institucí před kybernetickými hrozbami se s ohledem na vývoj moderních útoků a postoj světových mocností ke špionáži a sabotážím v digitálním prostředí stává zásadním a stále důležitějším tématem. Jsme rádi, že můžeme v této věci spolupracovat s NÚKIB, a pomáhat tak posilovat bezpečnost kyberprostoru České republiky,“ dodal Pavel Minařík, CTO ve Flowmon Networks. 

Implementačním partnerem projektu byla společnost NTT Czech Republic s.r.o.

Více se o tomto projektu dozvíte v případové studii: