ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/2014

Transcrição

1 Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/ Apresentação As informações estatísticas publicadas neste documento referem-se ao período de janeiro a março de 2014 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov, em comparação com o 4º trimestre de Para fins de análise, o CTIR Gov considera: (a) Notificações: eventos detectados e/ou reportados ao Centro para o endereço ctir@ctir.gov.br, incluindo os considerados como não incidentes, spams, falso-positivos, reiterações de incidentes já tratados e outras correspondências relacionadas às tarefas intermediárias da atividade de tratamento de incidentes de rede; (b) Incidentes: são as notificações que, após processo de triagem, são caracterizados como evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, conforme NC 05/IN01/DSIC/GSIPR; (c) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (d) Pendentes: incidentes que aguardam ação de terceiro para resolução; (e) Não Resolvidos: incidentes que aguardaram ação de terceiro por prazo estabelecido e não obtiveram sucesso na resolução. Página 1/6

2 2. Gráficos 2.1 Distribuição de notificações de incidentes por status e mês de criação Gráfico 1 Distribuição de notificações por status e mês de criação O agrupamento das notificações por status e mês de criação exibido no Gráfico 1 permite a observação de alguns aspectos relevantes: Aumento na quantidade de notificações: Percebeu-se um aumento na quantidade de notificações e de incidentes no trimestre, decorrente da participação de novos colaboradores da Administração Pública Federal - APF. 2.2 Distribuição de incidentes por categoria Gráfico 2 Distribuição de incidentes por categoria No Gráfico 2 são apresentados os percentuais por categoria de incidentes, ressaltando as maiores ocorrências em Página Falsa, Phishing Scam, e Abuso de Sítio. Página 2/6

3 Na tabela 1, observa-se a variação da quantidade de incidentes por categoria, referentes aos 1º Trimestre de 2014 em relação ao 4º Trimestre de 2013: Categoria 4º Trimestre º Trimestre 2014 Abuso de Sítio Abuso de SMTP Análise de Malware Botnets 7 35 Outras Hospedagem de Artefatos 2 17 Hospedagem de Malware Indisponibilidade de Sítio Página Falsa Phishing Scam Redirecionamento de Malware Scaneamento de Vulnerabilidades Vazamento de Informação Tabela 1 Variação da quantidade por categoria de Incidentes 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 Subtipos da categoria Abuso de Sítios No Gráfico 3, em relação ao trimestre anterior, ressalta-se a diminuição na subcategoria Spamdexing, e o aumento nas subcategorias de Possível Vulnerabilidade e Possível Vulnerabilidade JBoss. Página 3/6

4 2.4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 4 Distribuição de notificações de Abuso de Sítios por UF No Gráfico 4, verificam-se as dez unidades da federação (UF) com maior registro de incidentes notificados dessa categoria e as reiterações necessárias para resolução dos mesmos. Constata-se, em comparação com o trimestre anterior, uma diminuição no número de 2ª Notificações, com destaque para o Estado de Santa Catarina. 2.5 Domínios de hospedagem ou redirecionamento de Malwares Gráfico 5 Distribuição de domínios de hospedagem/redirecionamento de Malwares No Gráfico 5, é possível observar os dez domínios de maior ocorrência na hospedagem ou redirecionamento de malware. Em relação ao trimestre anterior, observa-se que os domínios dl.dropbox.com e bit.ly continuam sendo os principais hospedeiros. Nesse contexto, o CTIR Gov sugere aos órgãos da APF que não possuem nenhum tipo de atividade institucional com os domínios listados, que adotem as medidas julgadas cabíveis, alinhadas Página 4/6

5 com a Política de Segurança da Informação e Comunicações da instituição. Caso julguem oportuno, avaliem a necessidade do acesso e a conveniência de bloquear as conexões aos domínios relacionados. 2.6 Países destinatários das notificações de incidentes Gráfico 6 Países destinatários das notificações de incidentes O Gráfico 6 apresenta os dez países mais notificados pelo Centro nas categorias de incidentes de Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. De modo geral, no 1º trimestre houve aumento nas notificações para o exterior, em relação ao trimestre anterior. Os Estados Unidos da América e o Brasil continuam com o maior número de notificações de incidentes e Alemanha e França registraram aumento de notificações. 2.7 Tempo de resolução Gráfico 7 Tempo de resolução Com base nos dados do Gráfico 7, o tempo médio transcorrido entre as notificações e a resolução dos incidentes pelos responsáveis foi de quatro dias e quatorze horas, um aumento de 7 Página 5/6

6 horas em relação a média do trimestre anterior. Cabe ressaltar, ainda, que pouco mais de 60% dos incidentes foram solucionados em até quarenta e oito horas. 3. Conclusão Com base nos dados de incidentes de segurança registrados no CTIR Gov, o 1º trimestre de 2014 foi caracterizado pelo aumento de notificações e incidentes de segurança na maioria das categorias, decorrentes da ampliação de colaboradores que aconteceu no período, e pelo aumento significativo de incidentes nas categorias de Análise de Malware, Hospedagem de Artefatos, Botnets e Páginas Falsas. Reiteramos que essas informações são decorrentes da contribuição das equipes de segurança dos colaboradores do CTIR Gov, e evidenciam a importância do compartilhamento de experiências e informações, além da manutenção e melhoria dos processos. CTIR Gov/DSIC/GSIPR Brasília-DF, abril de Página 6/6