ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/2013

Transcrição

1 Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/ Apresentação As informações estatísticas publicadas no presente documento referem-se ao período de janeiro a março de 2013 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov, em comparação ao 4º trimestre de O Centro iniciou o ano com foco na continuidade das melhorias de processo para o tratamento de incidentes. Dentre as ações realizadas, destacamos a revisão na extração de dados estatísticos, considerando, a partir deste documento, uma nova percepção dos conceitos de Notificação e Incidentes. Após o redimensionamento de categorias em 2012, passamos a correlacionar o total de notificações com o objetivo de identificar eventos únicos. Dessa forma, buscou-se diminuir eventuais distorções dos dados relacionados aos incidentes já notificados pelos órgãos e entidades da Administração Pública Federal APF, direta e indireta, além de Estados e Municípios. 2. Gráficos 2.1 Distribuição de notificações de incidentes por status e mês de criação Gráfico 1 Distribuição de notificações por status e mês de criação Página 1/6

2 Para fins de análise, o CTIR Gov considera: (a) Notificações: eventos detectados e/ou reportados ao Centro para o endereço ctir@ctir.gov.br, incluindo os considerados como não incidentes, spams, falso-positivos, reiterações de incidentes já tratados e outras correspondências relacionadas às tarefas intermediárias da atividade de tratamento de incidentes de rede; (b) Incidentes: são as notificações que, após processo de triagem, são caracterizados como evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, conforme NC 05/IN01/DSIC/GSIPR; (c) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (d) Pendentes: incidentes que aguardam ação de terceiro para resolução. O agrupamento das notificações por status e mês de criação exibido no Gráfico 1 permite a observação de alguns aspectos relevantes: diminuição de incidentes: resultado dos ajustes dos critérios de classificação adotados pelo Centro, aumentando a categorização das notificações e restringindo o que deve ser considerado incidente, além de fazer a correlação das notificações, de modo a considerá-las como incidentes únicos; redução no número de incidentes pendentes: o aperfeiçoamento do controle dos tíquetes Pendentes, com mecanismos de controle automatizados e por meio da coordenação de terceiros responsáveis pelo tratamento do incidente, como também a atualização da base de contatos permitiram a redução do número de pendências. 2.2 Distribuição de incidentes por categoria Gráfico 2 Distribuição de incidentes por categoria No Gráfico 2, percebe-se a diminuição da categoria Geral, devido às novas categorizações de Página 2/6

3 incidentes criadas no período e à nova forma de realizar a contabilização adotada a partir do período considerado. Em relação à categoria Phishing Scam, observou-se, no período, acentuado aumento no número de golpes do tipo Nigerian 419. Esse tipo de fraude consiste basicamente de estelionato e normalmente envolve a promessa de grande lucro mediante o depósito antecipado de uma quantia na conta do fraudador. Mais informações podem ser encontradas nos links abaixo: < < 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 Subtipos da categoria Abuso de Sítios No Gráfico 3, é importante destacar a nova subcategoria Possível Vulnerabilidade (vulnerabilidade de código, exposição de código, vulnerabilidades em servidores Web), a qual representou percentual significativo do total, em virtude de um novo mecanismo de detecção desenvolvido pelo Centro. Verificou-se também que o número de notificações envolvendo Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos em sítios) diminuiu e que a subcategoria Desfiguração de Sítio, embora tenha diminuído, continua com a maior incidência de incidentes (51,75%) nessa categoria. Página 3/6

4 2.4 Distribuição de notificações de Abuso de Sítios por Estado Gráfico 4 Distribuição de notificações de Abuso de Sítios por Estado Verifica-se no Gráfico 4 o total de notificações realizadas para os dez estados com maior quantidade de incidentes registrados, bem como o número de reiterações necessárias para resolução de um determinado incidente. Esse tipo de incidente ocorre com maior frequência em São Paulo e Minas Gerais, fundamentalmente pelo grande número de subdomínios existentes nesses estados. Cabe ressaltar que, em termos proporcionais, ambos os estados possuem alto índice de resolução dos incidentes na 1ª Notificação. 2.5 Domínios de hospedagem ou redirecionamento de Malwares Gráfico 5 Distribuição de domínios de hospedagem ou redirecionamento de Malwares Top 10 No Gráfico 5, percebe-se que houve decréscimo significativo de hospedagens ou Página 4/6

5 redirecionamentos no domínio docs.google.com. Apesar dessa redução, o CTIR Gov mantém a sugestão de bloqueio de domínios aqui listados que não possuam relação com as atividades institucionais da organização. 2.6 Países destinatários das notificações de incidentes Gráfico 6 Países destinatários das notificações de incidentes O Gráfico 6 apresenta os dez países mais notificados e o agrupamento de todos os outros nas categorias de incidentes: Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. Os Estados Unidos da América e o Brasil continuam sendo os países destinatários do maior número de notificações de incidentes, com grande diferença para os outros países apresentados. 2.7 Tempo de resolução Gráfico 7 Tempo de resolução Com base nos dados do Gráfico 7, o tempo médio transcorrido entre as notificações e a resolução dos incidentes pelos responsáveis é de cinco dias e treze horas, que representa uma Página 5/6

6 redução de dois dias e uma hora em comparação com a média do trimestre anterior. Cabe ressaltar, ainda, que 42,37% dos incidentes foram solucionados em até quarenta e oito horas. 3. Conclusões A ampliação e a automatização dos mecanismos de detecção e busca, bem como dos procedimentos de tratamento de incidentes, possibilitaram ao CTIR Gov aumentar o número de serviços, melhorando o tempo médio de resolução dos incidentes e mantendo a qualidade dos que vinham sendo oferecidos. As informações apresentadas no presente documento são fruto da colaboração dos diversos órgãos da APF com o CTIR Gov, e evidenciam a importância do trabalho desenvolvido para a manutenção e melhoria das atividades de segurança da informação no âmbito governamental. Eventuais dúvidas ou sugestões sobre dados e considerações apresentados podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede CGTIR, para o cgtir@planalto.gov.br. Brasília-DF, abril de CTIR Gov/DSIC/GSIPR Página 6/6