Zaščita sistemov
V želji po ustreznejši zaščiti končnih sistemov in uporabnikov SI-CERT ponuja različne vire prosto dostopnih informacij o kibernetskih tveganjih in grožnjah. Vsi podatki so rezultat obravnave na SI-CERT in temeljijo na prejetih prijavah incidentov. Vsaka uporaba podatkov je v pristojnosti samega uporabnika podatkov.
Seznam zgoščenih vrednosti škodljive programske kode
MISP feed
MISP je odprtokodna platforma za izmenjavo podatkov o kibernetskih grožnjah. Zavezanci po Zakonu o informacijski varnosti se lahko povežejo neposredno na SI-CERT MISP vozlišče. Takšen način izmenjave zahteva sinhronizacijo podatkov s SI-CERT vozliščem (in predhoden sporazum o tem). Poenostavljeni seznam (angl. “feed”) pa omogoča neposredno pridobivanje dogodkov iz MISP strežnika brez predhodnega sporazuma o priklopu. Dogodki, ki jih nudimo na ta način, so izključno dogodki, ki smo jih v platformo MISP vpisali na SI-CERT in so označeni s stopnjo TLP:CLEAR.
Če želite uporabiti informacije o grožnjah, s katerimi je seznanjen SI-CERT, vas vabimo, da v svojo namestitev MISP vnesete tudi SI-CERT “feed”, ki je dostopen na URL naslovu https://www.cert.si/misp/feed.
Podrobna navodila so na voljo tukaj.
Seznam phishing URL naslovov
Phishing je številčno najbolj pogosta oblike zlorabe, večinoma pa je tudi prvi korak v bolj zahtevnih napadih. SI-CERT javno objavlja podatke o phishing URL naslovih, s katerimi smo seznanjeni. Vsak vnos na seznamu je potrjen kot dejanski phishing napad s strani zaposlenega na SI-CERT.
Podatki se lahko vključijo v SIEM sisteme, sisteme za zaščito pred zlonamerno elektronsko pošto, ali v druge EDR/XDR rešitve. Na voljo sta dva seznama:
- celoten seznam phishing URL naslovov: https://www.cert.si/misp/urls/all.txt
seznam vsebuje datum zaznave (polje date) in spletni naslov (polje url), polji sta ločeni z vejico, - seznam phishing URL naslovov za zadnji mesec dni: https://www.cert.si/misp/urls/last.txt
Ker je življenjska doba phishing spletnih mest omejena, je treba imeti v mislih tudi odstranjevanje naslovov po določenem času. Najbolj enostavno to storite z uporabo mesečnega seznama.
Seznam zgoščenih vrednosti škodljive programske kode
Prepoznavanje škodljive kode je osnovni mehanizem zaščite pri preiskovanju groženj. Najenostavnejši način je prek uporabe zgoščenih vrednosti datotek oz. t.i. hash vrednosti.
SI-CERT javno objavlja podatke o zgoščenih vrednostih škodljive programske kode, s katerimi smo seznanjeni.
Vsak vnos na seznamu je potrjen kot dejanski napad z uporabo škodljive kode s strani zaposlenega na SI-CERT. Podatki se lahko vključijo v SIEM sisteme, sisteme za zaščito pred zlonamerno elektronsko pošto ali v druge EDR/XDR rešitve.
Na voljo so v naslednjih oblikah:
- celoten seznam zgoščenih vrednosti v SHA256 obliki: https://www.cert.si/misp/sha256/all.txt
seznam vsebuje datum zaznave (polje **date**) , zgoščeno vrednost (polje **sha256**), tip škodljive kode (polje **tag**) polja so ločena z vejico, - seznam zgoščenih vrednosti v SHA256 obliki, primeren kot referenčna lista za SIEM: https://www.cert.si/misp/sha256/list.txt
- seznam zgoščenih vrednosti v SHA1 obliki, primeren kot referenčna lista za SIEM: https://www.cert.si/misp/sha1/list.txt