Artemis - narzędzie CERT Polska do walki z incydentami bezpieczeństwa IT

Platforma Artemis została stworzona przez zespół CERT Polska jako odpowiedź na rosnące zagrożenia związane z bezpieczeństwem IT. Artemis to narzędzie, które umożliwia analizę i automatyczne wykrywanie ataków oraz nadużyć związanych z bezpieczeństwem IT. Platforma Artemis pozwala na zbieranie, agregowanie, analizę i wizualizację informacji dotyczących incydentów bezpieczeństwa IT oraz pozwala na ich efektywną koordynację i zarządzanie.
Do czego służy Artemis?
Artemis został stworzony z myślą o zespołach reagowania na incydenty (CSIRT) oraz specjalistach z dziedziny bezpieczeństwa IT. Narzędzie to pozwala na monitorowanie sieci oraz wykrywanie incydentów bezpieczeństwa IT, takich jak ataki hackerskie, nadużycia związane z wykorzystywaniem nielegalnych programów (np. botów), czy próby wykorzystania podatności w oprogramowaniu.
Narzędzie oferuje wiele funkcjonalności, które umożliwiają skuteczną pracę w zakresie bezpieczeństwa IT. Platforma ta pozwala na zbieranie i przetwarzanie logów z różnych źródeł, takich jak systemy operacyjne, firewalle, serwery pocztowe czy serwery WWW. Artemis wykorzystuje mechanizmy SIEM (System Information and Event Management) do analizy tych logów i wykrywania podejrzanych zdarzeń.
Duży krok w stronę bezpieczeństwa
Artemis jest w stanie skanować i analizować ruch sieciowy w czasie rzeczywistym, dzięki czemu może wykrywać niebezpieczne zachowania w sieci oraz nieznane zagrożenia. W szczególności Artemis dba o to, aby zablokować niebezpieczne adresy internetowe, które mogą stanowić źródło złośliwego oprogramowania, a także chroni przed atakami typu phishing oraz próbami wykorzystania luk w systemach.
Artemis działa od 2 stycznia 2023 roku. CERT Polska poinformowało, że zostało już przeskanowanych około 2000 domen gmin i powiatów wraz z subdomenami. Za pomocą tego narzędzia udało się wykryć:
- kilkaset stron bazowały na nieaktualizowanym oprogramowaniu,
- niewłaściwe zabezpieczone foldery zawierające kod źródłowy systemu oraz hasła dostępowe, do których łatwy dostęp mogli mieć niepowołani użytkownicy,
- publiczny dostęp do plików konfiguracyjnych z hasłami, pliki z kopią zapasową serwisu, foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami).
Organizacje posiadające takie strony WWW są narażone na duże niebezpieczeństwo i zwiększone prawdopodobieństwo wystąpienia zagrożeń cybernetycznych, takich jak ataki hakerów czy wirusy komputerowe.
Jakie strony są badane przez Artemis?
W oparciu o ustawę o krajowym systemie cyberbezpieczeństwa, CERT Polska skanuje strony internetowe różnych instytucji i organizacji, takich jak szkoły, szpitale, instytuty badawcze, uczelnie oraz jednostki samorządu terytorialnego i ich spółki.
Wybór tych podmiotów nie jest przypadkowy i opiera się na ogólnodostępnych bazach grupujących jednostki danego typu. Artemis korzysta z jednego adresu IP do prowadzenia skanowań, a system jest tak skonfigurowany, by administrator mógł sprawdzić, że podejrzane połączenie pochodzi od CERT Polska. Wszystkie powiadomienia o zgłoszonych podatnościach są wysyłane z adresu cert@cert.pl, aby uniknąć wątpliwości co do pochodzenia danej aktywności i zapewnić bezpieczeństwo podmiotom objętym skanowaniem.