Lessons learned

V průběhu ledna jsme i prostřednictvím tohoto blogu informovali o hostování pravidelného mezinárodního setkání evropských a světových CSIRT a CERT týmů pod názvem FIRST/TF-CSIRT Technical Colloquium. S tímto setkáním jsme také spojili již pravidelný meeting Pracovní skupiny CSIRT.CZ. Pro náš tým to byly 3 dny plné zajímavých podnětů, informací a střetnutí. A co nás zaujalo nejvíc?

1. Anonymita a důvěra se cení
V rámci setkání TF-CSIRT jsme si poslechli různé zajímavé přednášky, nejzajímavější případy však zazněly na uzavřené skupině určené jen pro akreditované týmy v rámci Trusted Introducer. Uzavřené skupiny se v tomto případě osvědčily. Budování důvěry a poznávaní ostatních členů týmu se postupem času přetavilo do ochoty týmů sdílet i informace, které by si za jiných okolností nechaly pro sebe. Právě proto jsme se rozhodli uzavřené skupiny pro české týmy v rámci Pracovní skupiny CSIRT.CZ pořádat i my.

2. Případové studie a ukázky technických řešení
Na setkání TF-CSIRT se našemu týmu líbily nejvíce přednášky, které se týkaly řešení konkrétního případu či útoku. To platilo také pro Pracovní skupinu. Na základě dotazníku, který jsme účastníkům Pracovní skupiny rozdali, jsme zjistili, že ze všech přednášek se jim líbila nejvíce praktická ukázka analýzy malwaru kolegy z CSIRT.SK, po níž následovala přednáška o zatím pravděpodobně největším slovenském DDoS útoku na síť společnosti VNET. To jen potvrzuje, že v komunitě je zájem o sdílení znalostí a poznatků z praxe. Pravidelné společné setkávání posiluje vzájemnou důvěru, což pak umožňuje sdílet i takové informace, jejichž možné zneužití, například v konkurenčním boji, by jinak znemožňovalo se o ně podělit. Ostatně navázaní osobních kontaktů je z pohledu účastníků třetí nejpřínosnější částí Pracovní skupiny, hned po informacích o novinkách v oblasti bezpečnosti a zajímavých přednáškách.

3. Zájem o bezpečnost stoupá
Jsme moc rádi, že právě TF-CSIRT meeting, který sdružení CZ.NIC hostovalo, byl zatím největší. I když lednová setkání, která jsou spojena s organizací FIRST, bývají zpravidla větší než ostatní meetingy, tento byl, co se počtu účastníků týče, „nejbohatší“. Toto platí také pro Pracovní skupinu CSIRT.CZ. V jejím případě přesáhl počet účastníků 80, přičemž většinu účastníků tvořili právě členové různých CSIRT týmů. Z Pracovních skupin se tak staly menší konference.

4. Složení účastníků se různí
Co však setkání TF-CSIRT a Pracovní skupiny CSIRT.CZ do zásadní míry odlišuje, je skladba účastníků. Zatímco mezinárodního setkání TF-CSIRT se účastní z větší častí akademické, národní a vládní CSIRT týmy, na naší Pracovní skupině převládají zodpovědní internetoví poskytovatelé a členové CSIRT týmů. Většina totiž v dotazníku na otázku, „jak často se dostanete k řešení incidentu nehledě na jeho závažnost“ odpověděla, „vždy když incident přijmeme“.

Leden jsme odstartovali dvěma dobrými akcemi. I díky dotazníkům, které jsme účastníkům Pracovní skupiny rozdali, jsme získali pro nás velice cenný feedback, i co se týče projektu PROKI. Až 96 % respondentů uvedlo, že by souhrnnou správu o incidentech považovali za velmi užitečnou nebo užitečnou.

Autor:

Zanechte komentář