Automatiska notifieringar av tekniska sårbarheter (ANTS)
Säg hej till ANTS, CERT-SE:s senaste tillskott i arbetet med att förebygga, upptäcka och avbryta it-säkerhetsincidenter.
ANTS står för automatiska notifieringar av tekniska sårbarheter och syftar till att öka it-säkerheten i det svenska samhället.
En del av CERT-SE:s uppdrag är att varna våra intressenter då vi påträffar information om tekniska företeelser som kan behöva åtgärdas. Exempel på sådan information kan vara enheter som anslutit till övertagna botnät, servrar med sårbara mjukvaror eller tjänster med sårbara konfigurationer, till exempel open resolvers.
För att identifiera sådana företeelser bedriver CERT-SE kontinuerlig omvärldsbevakning med diverse verktyg, via kontakter och nätverk i Sverige samt genom att inhämta information från våra motsvarigheter i andra länder. Informationen matchas sedan mot organisationers tillgångar på internet, exempelvis ip-adresser och domännamn.
För att kunna bearbeta sådan information på ett mer automatiserat sätt, och på så sätt kunna uppmärksamma våra intressenter snabbare då behov uppstår, har CERT-SE inrättat funktionen ANTS.
ANTS är kostnadsfritt och tillgängligt för alla svenska verksamheter (både i offentlig och privat sektor) som vill ha hjälp med övervakning av sina angreppsytor på internet.
Observera att ANTS ska ses som ett komplement till det ordinarie systematiska säkerhetsarbetet inom er organisation.
Med start den 14 oktober kommer CERT-SE successivt införa en ny typ av notifiering i ANTS. Samtliga användare kommer att omfattas av förändringen senast i början av november.
Den nya notifieringen innehåller information om potentiellt sårbar utrustning som exponerar en gränsyta mot internet. Utskick görs endast till de verksamheter där potentiellt sårbar utrustning påträffats.
Det första utskicket av den nya notifieringen kan komma att täcka en längre tidsperiod än de efterföljande och därmed vara mer omfattande.
Nedan hittar du vanliga frågor och svar kopplat till ANTS.
Hur kommer jag enklast igång med ANTS?
Skicka in era ip-adresser med CIDR-notation. Skicka in era domännamn utan subdomäner. Anmäl endast as-nummer om ni har ett eget autonomt system (AS). Säkerställ att det inte skickas automatiska svar från den funktionsbrevlåda ni anmäler som mottagare av notifieringar.
Avsändaradressen för ANTS-utskicken är ants@cert.se.
Vilka typer av notifieringar kan jag förvänta mig att få från ANTS?
Områden som bevakas anpassas kontinuerligt. Från 14 oktober 2024 består majoriteten av notifieringarna av tre grundtyper:
- Publikt exponerade tjänster – innehållande data kring tjänster som i normalfallet inte ska exponeras på internet.
- Tjänster som kan användas för att förstärka överbelastningsangrepp (DDoS) mot tredje part – innehållande data kring tjänster som kan användas för att förstärka överbelastningsangrepp.
- Potentiellt sårbara tjänster – innehållande data avseende tjänster som är sårbara och nåbara från internet.
Denna lista kan komma att uppdateras i takt med att ny funktionalitet skapas, och nya typer av notifieringar tillkommer.
Hur levereras notifieringarna?
Notifieringar skickas till den e-postadress ni anger. Notifieringen innehåller en kommaseparerad fil med en rad per företeelse som kan behöva åtgärdas.
Hur ofta kan vi räkna med att få notifieringar?
Notifieringar skickas ut en gång per dag, i normalfallet på morgonen före kl. 08:00. Notifieringar skickas dock endast då vi har information om en teknisk företeelse som kan behöva åtgärdas.
Löser ANTS ut alla våra behov av bevakning av tillgångar på internet?
ANTS är en kostnadsfri funktion som CERT-SE erbjuder, som är tillgänglig för alla svenska verksamheter, offentliga såväl som privata. Dock vill CERT-SE särskilt påpeka att ANTS som funktion bör betraktas som ett komplement till det ordinarie systematiska säkerhetsarbetet inom er organisation.
Jag har en fråga kring en ANTS-notifiering som vi mottagit, var vänder jag mig?
Frågor kan ställas via e-post till cert@cert.se. Ange id-nummer och datum för notifieringen när ni kontaktar oss eftersom det underlättar vår hantering.
Varför skickar CERT-SE notifieringar om exempelvis abuse och sårbarheter?
Det ingår i CERT-SE:s uppdrag och är ett viktigt verktyg i vår strävan att upprätthålla en god it-säkerhet inom den svenska ip-rymden. I CERT-SE:s uppdrag ingår bland annat att;
- tillhandahålla tidiga varningar eller säkerhetsmeddelanden om risker och incidenter till våra intressenter.
- agera skyndsamt vid inträffade it-incidenter genom informationsspridning, samordning samt skadebegränsande åtgärder.
Vad menas med ”närvaro på internet”?
Våra intressenters närvaro på internet består primärt av ip-adresser och domännamn som är registrerade på deras organisationer samt as-nummer, om det är applicerbart.
Hur kan ip-adresser som inte är registrerade på vår organisation bevakas?
Om ni äger fler ip-adresser som ni vill att vi bevakar företeelser kring, behöver ni meddela oss vilka det är. Detta görs enklast via e-post till cert@cert.se.
Förändringar i utskick
Vissa förändringar i de filer som bifogas i notifieringar avseende tjänster som kan användas för att förstärka överbelastningsangrepp gjordes den 30 september. Fortsatt gäller att utskick endast görs till de verksamheter där det påträffas tekniska företeelser som kan behöva åtgärdas. I annat fall kommer inget utskick att ske.
Senast uppdaterad: 2024-10-11 12:10