Projekt PROKI devět let poté

Projekt PROKI (více o projektu zde ve formě přednášky nebo zde ve formě článku) jsme uvedli do testovacího provozu v listopadu 2015 a od té doby prošel bouřlivým vývojem, který stále nekončí. Zatím posledním vylepšením bylo zapojení systému PROKI do generování seznamu škodlivých domén, který plánujeme využívat primárně v dalších projektech sdružení a který je dle dosavadních výsledků testování v podstatě bez false positive. Kromě toho využíváme data z PROKI i pro různé ad hoc potřeby.

Nicméně hlavním cílem PROKI bylo poskytnout správcům sítí alokovaných v ČR nástroj, který by jim pomohl rychleji získat informace o potenciálních hrozbách ve spravovaných sítích. Během let jsme samozřejmě na různých akcích a setkáních nějakou zpětnou vazbu získali, tentokrát jsme se však rozhodli oslovit všechny adresáty, kteří během předchozích tří měsíců obdrželi ze systému PROKI hlášení. Jednalo se o 893 kontaktů z nichž náš dotazník vyplnilo 120 subjektů, tedy více než třináct procent oslovených.

I když jsme si byli vědomi pozitivního vnímání projektu odborníky z oblasti bezpečnosti, příjemně nás překvapilo, že i v takto širokém plénu, kde jsme získávali reakce nejen od subjektů, které se přímo bezpečností a IT zabývají, ale také od řady dalších, převládá pozitivní hodnocení. Zajímalo nás, zda s reporty pracujete (více než 75 procent z vás tak činí pravidelně), zda jsou pro vás užitečné (pro více než 62 procent z vás, pro 32 procent částečně), zda vám vyhovuje četnost zasílání (téměř 79 procent), zda se setkáváte s false positive (více než polovina vůbec) a kolik subjektů uvažuje o využití API (téměř 40 procent). Přesné procentuální zastoupení odpovědí na jednotlivé otázky najdete níže:

V poslední otázce pak byla možnost nám něco vzkázat, navrhnout vylepšení a podobně. V té jsme nashromáždili 63 odpovědí a kromě pochval a poděkování jste nám poslali také řadu zajímavých námětů na zlepšení.

Asi nejzajímavější pro nás bylo zjištění, že řada uživatelů nezaznamenala v rozesílaném e-mailu možnost využít PROKI API. Výhodou této možnosti je, že data od nás můžete získávat v intervalu, který vám vyhovuje.

Nejvíce podnětné byly návrhy a připomínky týkající se formátu zasílaných souborů, práce s nimi, jejich obsahu a případné customizace.

V jednom případě si respondent stěžoval, že vše, co od nás dostává, je false positive. Pokud se vás tento problém týká, budeme rádi, pokud nás kontaktujete, abychom od vás mohli získat více informací. Rádi bychom problém vyřešili, pokud se potvrdí.

V několika případech jste uváděli problém s hlášeními týkajícími se otevřených portů v rámci služby HaaS (Honeypot as a Service), která je postavená na routerech Turris. Jde o problém, kdy jsou porty, které má router záměrně otevřeny pro útočníky, zároveň reportovány námi využívanými zdroji jako zranitelné služby. Vlastníci routeru tak vlastně dostávají hlášení o problému, který neexistuje. Zhruba před měsícem jsme proto zavedli v PROKI opatření, které by mělo tato hlášení filtrovat a minimalizovat tak možná false positive. Pokud se s těmito problémy potkáváte ve větším měřítku i nadále, budeme rádi za konkrétní zpětnou vazbu. Bohužel nelze odfiltrovat úplně vše, záleží na tom, jak často se daným zákazníkům mění jejich IP adresy, chceme ale docílit co nejlepších možných výsledků.

Jsme velmi rádi, že jsem dostali tolik návrhů na zlepšení a děkujeme za ně. Postupně budeme zapracovávat návrhy, které jste posílali nejčastěji. V první vlně bychom vám rádi zjednodušili rozeznávání potenciálních incidentů od hlášení,, která s velkou pravděpodobností spadají do kategorie v ZKB označované jako událost. Po nějaké formě jednoduššího rozlišení těchto dvou kategorií jste volali vícekrát. Také změníme frekvenci opakování již jednou zaslaných informací o událostech, abychom informace o otevřených portech, neplatných certifikátech a podobných událostech rozesílali méně často, než informace o incidentech. Tyto změny lze realizovat zásahem do části, která se stará o rozesílání dat.

Bohužel, většina změn, které jste nám navrhovali by při realizaci na straně rozesílacího mechanismu vedla k dalším problémům. Proto primárním distribučním místem, na které se budeme soustředit a kde bychom rádi implementovali funkce, po kterých jste volali, bude portál k API rozhraní. V současnosti proto analyzujeme možnosti realizace požadavků a nápadů, které jste v anketě navrhovali.

Závěrem bych rád ještě jednou poděkoval všem, kteří výstupy projektu aktivně využívají a především těm, kteří nám svými podněty pomáhají posouvat projekt dál. Věřím, že PROKI bude i v dalších letech plnit úlohu jednoho ze systémů, které aktivně přispívají k bezpečnějšímu internetu pro všechny.

Autor:

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..