ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 2 TRIMESTRE/2013

Transcrição

1 Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 2 TRIMESTRE/ Apresentação As informações estatísticas publicadas no presente documento referem-se ao período de abril a junho de 2013 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov, em comparação com o 1º trimestre de O Centro iniciou os trabalhos do 2º trimestre com foco na manutenção do ciclo de melhoria contínua dos processos de tratamento de incidentes de rede. Entre as ações realizadas, destacamos a parceria com o CERT.br no tratamento de uma nova categoria de incidente que designamos DNS Recursivo. Trata-se de um problema de configuração de servidores DNS que permite a qualquer máquina na Internet realizar consultas ao servidor vulnerável, podendo ser utilizado em ataques amplificados de negação de serviço. Para maiores informações consulte: Merece destaque, ainda, a atuação do CTIR Gov no tratamento dos eventos de segurança de redes referentes à Copa das Confederações, realizado no período de 15 a 30 de junho de 2013, sob a coordenação do Centro de Defesa Cibernética CDCiber, do Ministério da Defesa. Buscando diminuir eventuais distorções dos dados relacionados aos incidentes já notificados, o CTIR Gov passou a contabilizar um novo status de incidentes denominado: Não resolvido, que se refere a incidentes que aguardaram ação de terceiros e não obtiveram sucesso na resolução, após o transcurso de prazo estabelecido. Página 1/6

2 2. Gráficos 2.1 Distribuição de notificações de incidentes por status e mês de criação Gráfico 1 Distribuição de notificações por status e mês de criação Para fins de análise, o CTIR Gov considera: (a) Notificações: eventos detectados e/ou reportados ao Centro para o endereço ctir@ctir.gov.br, incluindo os considerados como não incidentes, spams, falso-positivos, reiterações de incidentes já tratados e outras correspondências relacionadas às tarefas intermediárias da atividade de tratamento de incidentes de rede; (b) Incidentes: são as notificações que, após processo de triagem, são caracterizados como evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, conforme NC 05/IN01/DSIC/GSIPR; (c) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (d) Pendentes: incidentes que aguardam ação de terceiro para resolução; (e) Não Resolvidos: incidentes que aguardaram ação de terceiro por prazo estabelecido e não obtiveram sucesso na resolução. O agrupamento das notificações por status e mês de criação exibido no Gráfico 1 permite a observação de alguns aspectos relevantes: Aumento de notificações: Os números atípicos apresentados nos meses de abril e junho foram causados por eventos externos, como o resultado da parceria com o CERT.br no tratamento dos incidentes DNS Recursivo (abril/365 notificações) e da atuação do CTIR Gov junto ao CDCiber/MD, no período da Copa das Confederações (junho/140 notificações); e Incidentes não-resolvidos : Observa-se que o número de incidentes sem resolução é praticamente inexpressivo. Não obstante, o Centro analisa pontualmente esses casos com o objetivo de reconhecer o que impossibilitou a resolução a fim de melhorar seus processos, notadamente na atualização da rede de contatos. Página 2/6

3 2.2 Distribuição de incidentes por categoria Gráfico 2 Distribuição de incidentes por categoria No Gráfico 2, percebe-se o percentual significativo de incidentes da nova categoria DNS Recursivo, devido a parceria com o CERT.br no tratamento desses incidentes. Em relação à categoria Abuso de Sítio, observou-se, no período, uma diminuição acentuada em relação ao trimestre anterior (de 30 para 15%), embora ainda represente a maior ocorrência. 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 Subtipos da categoria Abuso de Sítios No Gráfico 3, é importante destacar a subcategoria Desfiguração de Sítio, que representou percentual significativo do total (69,19%) e por ter aumentado aproximadamente 17 pontos percentuais em relação ao trimestre anterior. Página 3/6

4 2.4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 4 Distribuição de notificações de Abuso de Sítios por UF No Gráfico 4, verificam-se as dez unidades da federação com maior registro de incidentes notificados, dessa categoria, e as reiterações necessárias para resolução dos mesmos. Constata-se que, de maneira geral, houve significativa diminuição no número de reiterações de notificações em comparação com o trimestre anterior. Os estados de Minas Gerais e São Paulo respondem pela maior ocorrência de incidentes, fundamentalmente pela quantidade de subdomínios registrados nessas unidades da federação. Além disso, em termos proporcionais, esses estados possuem alto índice de resolução dos incidentes na 1ª Notificação. Página 4/6

5 2.5 Domínios de hospedagem ou redirecionamento de Malwares Gráfico 5 Distribuição de domínios de hospedagem/redirecionamento de Malwares No Gráfico 5, é possível observar os dez domínios de maior ocorrência na hospedagem ou redirecionamento de malware. Em relação ao trimestre anterior, observa-se significativo aumento no percentual de ocorrências envolvendo o domínio dl.dropbox.com (23 pontos percentuais). Nesse contexto, o CTIR Gov sugere aos órgãos da APF, que não possuem nenhum tipo de atividade institucional dos domínios listados, que adotem as medidas julgadas cabíveis, alinhadas com a Política de Segurança da Informação e Comunicações da instituição, no sentido de avaliarem a necessidade do acesso e, caso julgado conveniente, bloquear as conexões aos domínios relacionados. 2.6 Países destinatários das notificações de incidentes Gráfico 6 Países destinatários das notificações de incidentes Página 5/6

6 O Gráfico 6 apresenta os dez países mais notificados pelo Centro e o agrupamento de todos os outros nas categorias de incidentes: Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. Os Estados Unidos da América e o Brasil continuam sendo os países destinatários do maior número de notificações de incidentes, com grande diferença para os outros países apresentados. 2.7 Tempo de resolução Gráfico 7 Tempo de resolução Com base nos dados do Gráfico 7, o tempo médio transcorrido entre as notificações e a resolução dos incidentes pelos responsáveis é de seis dias e duas horas, que representa o aumento de treze horas, em comparação com a média do trimestre anterior. Cabe ressaltar que cerca de 54% dos incidentes foram solucionados em até quarenta e oito horas, representando um aumento de cerca de 13% em comparação com o trimestre anterior. 3. Conclusões A ampliação dos serviços em parceria com o CERT.br e o CDCiber/MD, a automatização dos mecanismos de busca e dos procedimentos de tratamento de incidentes, possibilitaram ao CTIR Gov ampliar suas atividades, mantendo a qualidade dos serviços oferecidos. As informações aqui apresentadas são fruto da contribuição dos colaboradores com o CTIR Gov, e evidenciam a importância do compartilhamento de experiências e informações, além da manutenção e melhoria dos processos. Eventuais dúvidas ou sugestões sobre dados e considerações apresentados podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede CGTIR, para o cgtir@planalto.gov.br. Brasília-DF, julho de CTIR Gov/DSIC/GSIPR Página 6/6