SlideShare ist ein Scribd-Unternehmen logo

Turris - Robert Šefr

Als ODP, PDF herunterladen
Security Session
Security Session

Turris

Technologie
1 von 6
Projekt Turris Detekce závadného provozu Robert Šefr • robert.sefr@nic.cz • 11.04.2015
Fifty shades of greylist ● Logy firewallu všech routerů jsou vyhodnocovány na centrálním serveru ● Sledování zdrojových adres, cílových portů a množství požadavků ● Týdenní generování veřejného greylistu: https://www.turris.cz/greylist-data/
We've been naughty ● Zatím je málo pokrytá komunikace iniciovaná na straně sítě za Turrisem, typicky komunikace infikovaných strojů s C&C servery ● Jsou využívány volně dostupné blacklisty ● Botnet trackery (např. Zeus), Malc0de, atd. ● Nové zdroje vyhodnocujeme a zvažujeme jejich zařazení
Laters, baby! ● Vlastní detekce infikovaných strojů na základě analýzy podezřelého odchozího provozu ● Vyhledávání anomálií v provozu odcházejícího z Turrisů – obohacení dat o ASN a geolokaci ● Verifikace podezřelého provozu a odstranění false positives - PassiveDNS, VirusTotal
Děkuji za pozornost Robert Šefr • robert.sefr@nic.cz • @turris_cz
Děkuji za pozornost Robert Šefr • robert.sefr@nic.cz • @turris_cz

Empfohlen

Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýSecurity Session
 
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
 

Empfohlen

Exploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýExploitace – od minulosti po současnost - Jan Kopecký
Exploitace – od minulosti po současnost - Jan KopeckýSecurity Session
 
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...
Getting your hands dirty: How to Analyze the Behavior of Malware Traffic / SE...Security Session
 
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...
Základy reverse engineeringu a assembleru / KAREL LEJSKA, MILAN BARTOŠ [DEFEN...Security Session
 
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...
Zabezpečení nejen SSH na serveru pomocí Fail2Ban a jednoduchého honeypotu. / ...Security Session
 
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]
Insights of a brute-forcing botnet / VERONICA VALEROS [CISCO]Security Session
 
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]
Softwarove protektory / KAREL LEJSKA, MILAN BARTOŠ [DEFENDIO]Security Session
 
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...
Wintel Hell: průvodce devíti kruhy Dantova technologického pekla / MARTIN HRO...Security Session
 
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...
Robots against robots: How a Machine Learning IDS detected a novel Linux Botn...Security Session
 
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
 
Prezentace brno
Prezentace brnoPrezentace brno
Prezentace brnoSecurity Session
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyondSecurity Session
 
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábKontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábSecurity Session
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýSecurity Session
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkSecurity Session
 
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožSecurity Session
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiSecurity Session
 
Nehacknutelny web
Nehacknutelny webNehacknutelny web
Nehacknutelny webSecurity Session
 
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiDetekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiSecurity Session
 
Dejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteDejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteSecurity Session
 
Ako sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikomAko sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikomSecurity Session
 
Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1Security Session
 
Decentralized society and Bitcoin contracts
Decentralized society and Bitcoin contractsDecentralized society and Bitcoin contracts
Decentralized society and Bitcoin contractsSecurity Session
 
Practical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacksPractical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacksSecurity Session
 
Zranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiZranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiSecurity Session
 

Weitere ähnliche Inhalte

Mehr von Security Session

#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]Security Session
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Security Session
 
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábKontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábSecurity Session
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýSecurity Session
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýSecurity Session
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkSecurity Session
 
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýSecurity Session
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožSecurity Session
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiSecurity Session
 
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiDetekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiSecurity Session
 
Dejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteDejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteSecurity Session
 
Ako sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikomAko sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikomSecurity Session
 
Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1Security Session
 
Decentralized society and Bitcoin contracts
Decentralized society and Bitcoin contractsDecentralized society and Bitcoin contracts
Decentralized society and Bitcoin contractsSecurity Session
 
Practical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacksPractical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacksSecurity Session
 
Zranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiZranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiSecurity Session
 

Mehr von Security Session (20)

#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
#ochranadat pred sebou samotným / MATEJ ZACHAR [SAFETICA TECHNOLOGIES S.R.O.]
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
 
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
Bezpečnější pošta díky protokolu DANE / ONDŘEJ CALETKA [CESNET]
 
Prezentace brno
Prezentace brnoPrezentace brno
Prezentace brno
 
OSINT and beyond
OSINT and beyondOSINT and beyond
OSINT and beyond
 
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin DrábKontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
Kontrola uživatelských účtů ve Windows a jak ji obejít - Martin Dráb
 
Research in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin DrahanskýResearch in Liveness Detection - Martin Drahanský
Research in Liveness Detection - Martin Drahanský
 
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan ČernockýDolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
Dolování dat z řeči pro bezpečnostní aplikace - Jan Černocký
 
Co se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel MinaříkCo se skrývá v datovém provozu? - Pavel Minařík
Co se skrývá v datovém provozu? - Pavel Minařík
 
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel TáborskýJak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
Jak odesílat zprávy, když někdo vypne Internet - Pavel Táborský
 
Two Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal AmbrožTwo Years with botnet Asprox - Michal Ambrož
Two Years with botnet Asprox - Michal Ambrož
 
Falsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivostiFalsifikace biometricke charakteristiky a detekce zivosti
Falsifikace biometricke charakteristiky a detekce zivosti
 
Nehacknutelny web
Nehacknutelny webNehacknutelny web
Nehacknutelny web
 
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnostiDetekcia kompromitacie z pohladu pracovnika bezpecnosti
Detekcia kompromitacie z pohladu pracovnika bezpecnosti
 
Dejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom sveteDejiny podvodov v bitcoinovom svete
Dejiny podvodov v bitcoinovom svete
 
Ako sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikomAko sa nestat internetovym podvodnikom
Ako sa nestat internetovym podvodnikom
 
Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1Analýza zaváděcího sektoru a procesu bootování Windows 8.1
Analýza zaváděcího sektoru a procesu bootování Windows 8.1
 
Decentralized society and Bitcoin contracts
Decentralized society and Bitcoin contractsDecentralized society and Bitcoin contracts
Decentralized society and Bitcoin contracts
 
Practical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacksPractical steps to mitigate DDoS attacks
Practical steps to mitigate DDoS attacks
 
Zranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxiZranitelnosti ovladačů jádra Windows v praxi
Zranitelnosti ovladačů jádra Windows v praxi
 

Turris - Robert Šefr

  • 1. Projekt Turris Detekce závadného provozu Robert Šefr • robert.sefr@nic.cz • 11.04.2015
  • 2. Fifty shades of greylist ● Logy firewallu všech routerů jsou vyhodnocovány na centrálním serveru ● Sledování zdrojových adres, cílových portů a množství požadavků ● Týdenní generování veřejného greylistu: https://www.turris.cz/greylist-data/
  • 3. We've been naughty ● Zatím je málo pokrytá komunikace iniciovaná na straně sítě za Turrisem, typicky komunikace infikovaných strojů s C&C servery ● Jsou využívány volně dostupné blacklisty ● Botnet trackery (např. Zeus), Malc0de, atd. ● Nové zdroje vyhodnocujeme a zvažujeme jejich zařazení
  • 4. Laters, baby! ● Vlastní detekce infikovaných strojů na základě analýzy podezřelého odchozího provozu ● Vyhledávání anomálií v provozu odcházejícího z Turrisů – obohacení dat o ASN a geolokaci ● Verifikace podezřelého provozu a odstranění false positives - PassiveDNS, VirusTotal
  • 5. Děkuji za pozornost Robert Šefr • robert.sefr@nic.cz • @turris_cz
  • 6. Děkuji za pozornost Robert Šefr • robert.sefr@nic.cz • @turris_cz

Hinweis der Redaktion

  1. - Detekce anomálií zaměřená zejména na výskyt různých portů v provozu - Anomálie jsou v první fázi detekovány na každém routeru zvlášť a následně na jsou data porovnávána centrálně napříč všemi routery - Týdenní agregace všech dat a vygenerování greylistu včetně tagů, geolokace a asn - Všechny záznamy v greylistu jsou tagovány, taxonomie je popsána v souboru legend.txt také na odkazu výše
  2. - Většina malwaru dnes iniciuje komunikaci ze strany klienta na portech 80 a 443 - Častým způsobem infekce je komunikace http/s, nezřídka i na „důvěryhodných“ webech - social engineering na sociálních sítích - skrze reklamní služby - Současně zařazené blacklisty zvládají detekovat a blokovat některou komunikaci malwaru nebo prvotní infekci
  3. - Rádi bychom detekovali více incidentů než jenom ty, se kterými pomáhají existující blacklisty - Pracujeme na vyhledávání anomálního klientského provozu, který může ukazovat na prvotní infekce nebo komunikaci s C&C servery - Zatím se orientujeme v datech pomocí ELK (elasticsearch, logstash, kibana) - anomální provoz ověřujeme vůči PassiveDNS a VirusTotal, abychom ověřili, zda se nejedná o false positive - vše je na úplném začátku a bude se hodně měnit a upravovat