ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 4 TRIMESTRE/2014

Transcrição

1 Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 4 TRIMESTRE/ Apresentação As informações estatísticas publicadas neste documento referem-se ao período de outubro a dezembro de 2014 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov, em comparação com o 3º trimestre de Para fins de análise, o CTIR Gov considera: (a) Notificações: eventos detectados e/ou reportados ao Centro para o endereço ctir@ctir.gov.br, incluindo os considerados como não incidentes, spams, falso-positivos, reiterações de incidentes já tratados e outras correspondências relacionadas às tarefas intermediárias da atividade de tratamento de incidentes de rede; (b) Incidentes: são as notificações que, após processo de triagem, são caracterizadas como evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores, conforme NC 05/IN01/DSIC/GSIPR; (c) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (d) Pendentes: incidentes que aguardam ação de terceiros para resolução; (e) Não Resolvidos: incidentes que aguardaram ação de terceiros por prazo estabelecido e não obtiveram sucesso na resolução. Página 1/6

2 2. Gráficos 2.1 Distribuição de notificações de incidentes por status e mês de criação Gráfico 1 Distribuição de notificações por status e mês de criação O agrupamento das notificações por status (resolvidos, pendentes e não resolvidos) e por mês de criação exibido no Gráfico nº 1, permite observar uma discreta diminuição na quantidade de notificações nos meses de novembro e dezembro. 2.2 Distribuição de incidentes por categoria Gráfico 2 Distribuição de incidentes por categoria No Gráfico 2 são apresentados os percentuais por categoria de incidentes. Destacam-se, como as maiores ocorrências, as categorias de Abuso de Sítio, Página Falsa, Phishing Scam, Indisponibilidade de Sítio, e Redirecionamento de Malware, respectivamente. Observa-se a inclusão da categoria DNS Malicioso, que são notificações de servidores DNS maliciosos existentes na Internet e que respondem Página 2/6

3 de modo autoritativo (AA Authoritative Answer) para domínios do Governo Brasileiro, redirecionando usuários para endereços falsos. Na tabela 1, abaixo, observa-se a variação da quantidade de incidentes por categoria, referentes aos 3º e 4º trimestre de 2014: Categoria 3º Trimestre 4º Trimestre Abuso de Sítio Abuso de SMTP Análise de Malware Botnets DNS Malicioso DNS Recursivo 1 1 Geral 10 5 Hospedagem de Artefatos Hospedagem de Malware Indisponibilidade de Sítio Página Falsa Phishing Scam Redirecionamento de Malware Scaneamento de Vulnerabilidades Vazamento de Informação Tabela 1 Variação da quantidade de incidentes por categoria 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 Subtipos da categoria Abuso de Sítios No Gráfico 3, acima, ressalta-se uma diminuição de 4% na subcategoria Spamdexing e o aumento de 2,2% para 6,85% na subcategoria Possível Vulnerabilidade em relação ao trimestre anterior. Página 3/6

4 2.4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 4 Distribuição de notificações de Abuso de Sítios por UF Gráfico 5 Distribuição de renotificações de Abuso de Sítios por UF O Gráfico 4 detalha a distribuição de notificações referentes à abusos de sítios, pelas unidades da federação, enquanto o Gráfico 5 apresenta as dez unidades da federação (UF) com maior registro de incidentes desta categoria notificados e as reiterações necessárias para resolução dos mesmos. Página 4/6

5 2.5 Domínios de hospedagem ou redirecionamento de Malwares Gráfico 6 Distribuição de domínios de hospedagem/redirecionamento de Malwares No Gráfico 6, é possível observar os dez domínios de maior ocorrência na hospedagem ou redirecionamento de malware. Destaque para a redução de hospedagem no domínio dropbox.com de 29,3 para 8,3, no trimestre, e o surgimento do domínio com 13,9% do total de domínios que hospedaram artefatos maliciosos relativos aos incidentes tratados no período. Nesse contexto, o CTIR Gov sugere aos órgãos da APF que não possuam atividade institucional com os domínios listados, que adotem medidas julgadas cabíveis, alinhadas à Política de Segurança da Informação e Comunicações da instituição, avaliando-se a necessidade do acesso e a conveniência de bloquear as conexões aos domínios relacionados. 2.6 Países destinatários das notificações de incidentes Gráfico 7 Países destinatários das notificações de incidentes O Gráfico 7 apresenta os dez países mais notificados pelo Centro nas categorias de incidentes de Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. De modo geral, observa-se que no 4º trimestre houve uma diminuição nas notificações para o exterior em relação ao trimestre anterior, no entanto, os Estados Unidos da América e o Brasil continuam com o maior número de notificações de incidentes. Página 5/6

6 2.7 Tempo de resolução Gráfico 8 Tempo de resolução Com base nos dados do Gráfico 8, observa-se que 48% dos incidentes foram solucionados nas primeiras vinte e quatro horas. 3. Conclusão Com base nos eventos de segurança registrados pelo CTIR Gov no 4º trimestre de 2014, verificou-se uma diminuição de notificações e incidentes de segurança na maioria das categorias em comparação ao trimestre anterior. Vale destacar que o CTIR Gov trabalha de forma colaborativa com equipes de segurança de órgãos da Administração Púbica, em parceria com o CDCiber, CERT.br e empresas de segurança. A presente estatística é fruto deste trabalho colaborativo, sendo fundamental a participação dos órgãos e entidades públicas de modo a melhor apresentar o cenário de segurança que afeta o Estado Brasileiro. CTIR Gov/DSIC/GSIPR Brasília-DF, Março Página 6/6