Artemis - narzędzie CERT Polska do walki z incydentami bezpieczeństwa IT

Platforma Artemis została stworzona przez zespół CERT Polska jako odpowiedź na rosnące zagrożenia związane z bezpieczeństwem IT. Artemis to narzędzie, które umożliwia analizę i automatyczne wykrywanie ataków oraz nadużyć związanych z bezpieczeństwem IT. Platforma Artemis pozwala na zbieranie, agregowanie, analizę i wizualizację informacji dotyczących incydentów bezpieczeństwa IT oraz pozwala na ich efektywną koordynację i zarządzanie.

Do czego służy Artemis?

Artemis został stworzony z myślą o zespołach reagowania na incydenty (CSIRT) oraz specjalistach z dziedziny bezpieczeństwa IT. Narzędzie to pozwala na monitorowanie sieci oraz wykrywanie incydentów bezpieczeństwa IT, takich jak ataki hackerskie, nadużycia związane z wykorzystywaniem nielegalnych programów (np. botów), czy próby wykorzystania podatności w oprogramowaniu.

Narzędzie oferuje wiele funkcjonalności, które umożliwiają skuteczną pracę w zakresie bezpieczeństwa IT. Platforma ta pozwala na zbieranie i przetwarzanie logów z różnych źródeł, takich jak systemy operacyjne, firewalle, serwery pocztowe czy serwery WWW. Artemis wykorzystuje mechanizmy SIEM (System Information and Event Management) do analizy tych logów i wykrywania podejrzanych zdarzeń.

Duży krok w stronę bezpieczeństwa

Artemis jest w stanie skanować i analizować ruch sieciowy w czasie rzeczywistym, dzięki czemu może wykrywać niebezpieczne zachowania w sieci oraz nieznane zagrożenia. W szczególności Artemis dba o to, aby zablokować niebezpieczne adresy internetowe, które mogą stanowić źródło złośliwego oprogramowania, a także chroni przed atakami typu phishing oraz próbami wykorzystania luk w systemach.

Artemis działa od 2 stycznia 2023 roku. CERT Polska poinformowało, że zostało już przeskanowanych około 2000 domen gmin i powiatów wraz z subdomenami. Za pomocą tego narzędzia udało się wykryć:

• kilkaset stron bazowały na nieaktualizowanym oprogramowaniu,
• niewłaściwe zabezpieczone foldery zawierające kod źródłowy systemu oraz hasła dostępowe, do których łatwy dostęp mogli mieć niepowołani użytkownicy,
• publiczny dostęp do plików konfiguracyjnych z hasłami, pliki z kopią zapasową serwisu, foldery z danymi systemu poczty (adresami e-mail, treściami wiadomości czy załącznikami).

Organizacje posiadające takie strony WWW są narażone na duże niebezpieczeństwo i zwiększone prawdopodobieństwo wystąpienia zagrożeń cybernetycznych, takich jak ataki hakerów czy wirusy komputerowe.

Jakie strony są badane przez Artemis?

W oparciu o ustawę o krajowym systemie cyberbezpieczeństwa, CERT Polska skanuje strony internetowe różnych instytucji i organizacji, takich jak szkoły, szpitale, instytuty badawcze, uczelnie oraz jednostki samorządu terytorialnego i ich spółki.

Wybór tych podmiotów nie jest przypadkowy i opiera się na ogólnodostępnych bazach grupujących jednostki danego typu. Artemis korzysta z jednego adresu IP do prowadzenia skanowań, a system jest tak skonfigurowany, by administrator mógł sprawdzić, że podejrzane połączenie pochodzi od CERT Polska. Wszystkie powiadomienia o zgłoszonych podatnościach są wysyłane z adresu cert@cert.pl, aby uniknąć wątpliwości co do pochodzenia danej aktywności i zapewnić bezpieczeństwo podmiotom objętym skanowaniem.