ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/2015

Transcrição

1 Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 1 TRIMESTRE/ Apresentação As informações estatísticas publicadas neste documento referem-se ao período de janeiro a março de 2015 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov, em comparação com o 4º trimestre de Para fins de análise, o CTIR Gov considera: (a) Notificações: eventos detectados e/ou reportados ao Centro para o endereço ctir@ctir.gov.br, incluindo os considerados como não incidentes, spams, falso-positivos, reiterações de incidentes já tratados e outras correspondências relacionadas às tarefas intermediárias da atividade de tratamento de incidentes de rede; (b) Incidentes: são as notificações que, após processo de triagem, são caracterizadas como evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, conforme NC 05/IN01/DSIC/GSIPR; (c) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (d) Pendentes: incidentes que aguardam ação de terceiros para resolução; (e) Não Resolvidos: incidentes que aguardaram ação de terceiros por prazo estabelecido e não obtiveram sucesso na resolução. Página 1/6

2 2. Gráficos 2.1 Distribuição de notificações de incidentes por status e mês de criação Gráfico 1 Distribuição de notificações por status e mês de criação O agrupamento das notificações por status (resolvidos, pendentes e não resolvidos) e por mês de criação exibido no Gráfico nº 1, permite observar um discreto aumento na quantidade de notificações no mês de março, decorrente principalmente do aumento da categoria de DNS Malicioso (DNS maliciosos existentes na Internet e que respondem de modo autoritativo (AA Authoritative Answer) para domínios do Governo Brasileiro, redirecionando usuários para endereços falsos). 2.2 Distribuição de incidentes por categoria Gráfico 2 Distribuição de incidentes por categoria Página 2/6

3 No Gráfico 2 são apresentados os percentuais por categoria de incidentes. Destacam-se, como as maiores ocorrências, as categorias de Abuso de Sítio (30,10%), Página Falsa (14,49%), Indisponibilidade de Sítio (11%) e DNS Malicioso (10,52%), respectivamente. Na tabela 1, abaixo, observa-se a variação da quantidade de incidentes por categoria, referentes aos 1º trimestre de 2015 e 4º trimestre de 2014: Categoria 4º Trimestre º Trimestre 2015 Abuso de Sítio Abuso de SMTP Análise de Malware Botnets DNS Malicioso DNS Recursivo 1 6 Geral 5 10 Hospedagem de Artefatos 17 9 Hospedagem de Malware Indisponibilidade de Sítio Página Falsa Phishing Scam Redirecionamento de Malware Scaneamento de Vulnerabilidades Vazamento de Informação Violação de Direitos Autorais 5 5 Tabela 1 Variação da quantidade de incidentes por categoria É possível observar na tabela 1, aumento significativo nas categorias DNS Malicioso e Abuso de Sítio e de diminuição nas categorias Página Falsa e Redirecionamento de Malware. 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 Subtipos da categoria Abuso de Sítios No Gráfico 3, acima, relação ao trimestre anterior. ressalta-se um aumento de 100% na subcategoria Spamdexing em Página 3/6

4 2.4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 5 Distribuição de renotificações de Abuso de Sítios por UF O Gráfico 4 detalha a distribuição de notificações referentes à abusos de sítios, pelas unidades da federação, enquanto o Gráfico 5 apresenta as dez unidades da federação (UF) com maior registro de incidentes desta categoria notificados e as reiterações necessárias para resolução dos mesmos. Página 4/6

5 2.5 Domínios de hospedagem ou redirecionamento de Malwares Gráfico 6 Distribuição de domínios de hospedagem/redirecionamento de Malwares No Gráfico 6, é possível observar os dez domínios de maior ocorrência na hospedagem ou redirecionamento de malware. Destaque para o aumento de hospedagem no domínio dropbox.com de 8,3 para 27,3 no trimestre. Nesse contexto, o CTIR Gov sugere aos órgãos da APF que não possuam atividade institucional com os domínios listados, que adotem medidas julgadas cabíveis, alinhadas à Política de Segurança da Informação e Comunicações da instituição, avaliando-se a necessidade do acesso e a conveniência de bloquear as conexões aos domínios relacionados. 2.6 Países destinatários das notificações de incidentes Gráfico 7 Países destinatários das notificações de incidentes O Gráfico 7 apresenta os dez países mais notificados pelo Centro nas categorias de incidentes de Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. De modo geral, observa-se que no 1º trimestre houve uma diminuição nas notificações para o exterior em relação ao trimestre anterior, no entanto, os Estados Unidos da América e o Brasil continuam com o maior número de notificações de incidentes. Página 5/6

6 2.7 Tempo de resolução Gráfico 8 Tempo de resolução Com base nos dados do Gráfico 8, observa-se que 55,51% dos incidentes foram solucionados nas primeiras vinte e quatro horas. 3. Conclusão O CTIR Gov recebe notificações de incidentes de segurança dos órgãos afetados e de entidades parceiras, do Brasil e do Exterior, além dos detectados através dos seus mecanismos de busca em fontes abertas. Os números apresentados englobam incidentes de Segurança sofridos pela Administração Pública Federal e pelos demais Órgãos de Governo das Unidades da Federação (Estados e Municípios). Tais números, apesar de não representarem a totalidade dos incidentes de segurança e ameaças sofridas, podem ser considerados como amostra qualitativa e quantitativa das principais ameaças, e servir como base para orientar ações proativas e investimentos necessários ao fortalecimento da Segurança das Redes de Governo. Vale destacar que o CTIR Gov trabalha de forma colaborativa com as equipes de segurança dos Órgãos da Administração Pública, e em parceria com o CDCiber, CERT.br e empresas especializadas em segurança. De modo que, a presente estatística é fruto deste trabalho colaborativo, sendo, portanto, de fundamental importância, que os órgãos e entidades públicas informem ao CTIR Gov, os incidentes ocorridos em suas respectivas redes, para que possamos melhor apresentar à sociedade, o cenário de segurança que afeta o Estado Brasileiro. Brasília-DF, Abril de CTIR Gov/DSIC/GSIPR Página 6/6