Presidência da República Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações Centro de Tratamento de Incidentes de Rede da Administração Pública Federal ESTATÍSTICAS DE INCIDENTES DE REDE NA APF 4 TRIMESTRE/2012 1. Apresentação As informações estatísticas publicadas no presente documento referem-se ao período de 01/10/2012 a 31/12/2012 e apresentam algumas considerações sobre o trabalho de detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de Incidentes de Segurança de Rede de Computadores da Administração Pública Federal CTIR Gov. O Centro realiza ajustes periódicos nos processos adotados, como a criação de novas frentes de detecção e categorizações de incidentes, além de diminuir eventuais distorções dos dados relacionados aos incidentes já notificados pelos órgãos e entidades da Administração Pública Federal - APF, direta e indireta, além de Estados e Municípios. 2. Gráficos 2.1 Distribuição de notificações de incidentes por Status e mês de criação Gráfico 1 - Distribuição de notificações por Status e mês de criação Para fins de análise, o CTIR Gov considera (a) Notificações: eventos detectados e/ou Página 1/6
reportados ao Centro para o endereço ctir@ctir.gov.br; (b) Resolvidos: incidentes finalizados com tratamento realizado com sucesso; (c) Pendentes: incidentes que aguardam ação de terceiro para resolução e (d) Rejeitados: detecção de falso positivo ou notificação de não-incidente. O agrupamento das notificações por Status e mês de criação exibido no Gráfico 1 permite a observação de alguns aspectos relevantes: Aumento da proporção de incidentes notificados: Resultado dos ajustes nos processos automatizados de detecção e notificação desenvolvidos pelo CTIR Gov, que possibilitaram inclusão de novos serviços de detecção como: Exposição de Código (dezembro) - Exposição desnecessária de código fonte, tabela de banco de dados, informações de conexões ou outras informações sensíveis que podem ser utilizadas em ações maliciosas; Aumento no número de notificações rejeitadas: Deveu-se à inclusão do mecanismo de busca de informações em sites especializados, que apresentou elevado percentual de falso-positivo. O Centro está homologando um novo ajuste no mecanismo automatizado que pretende reduzir significativamente esse número. Provavelmente entrará em produção no 1º Trimestre de 2013; Redução no número de incidentes pendentes: O aperfeiçoamento do controle dos tíquetes Pendentes, por meio da coordenação na ação direta dos terceiros, responsáveis pelo tratamento do incidente. 2.2 Distribuição de incidentes por categoria Gráfico 2 - Distribuição de incidentes por categoria Página 2/6
No gráfico 2 percebe-se o aumento significativo na categoria Scaneamento de Vulnerabilidades, notadamente pelo aumento de notificações recebidas. 2.3 Subtipos da categoria Abuso de Sítios Gráfico 3 - Distribuição subtipos de Abuso de Sítios No gráfico 3 é importante destacar que a nova categoria Exposição de Código (exposição desnecessária de código fonte, tabela de banco de dados, informações de conexões ou outras informações sensíveis que podem ser utilizadas em ações maliciosas) teve um percentual significativo, e que o número de notificações envolvendo Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos em sítios) manteve-se com percentual elevado, sendo que a Desfiguração de Sítio continua com a maior incidência de incidentes (55,1%) dentro da categoria Abuso de Sítios. Página 3/6
2.4 Distribuição de notificações de Abuso de Sítios por Estado Gráfico 4 - Distribuição de notificações de Abuso de Sítios por Estado Conforme o gráfico 4 verifica-se maior incidência de Abuso de Sítio em MG e SP, fundamentalmente pelo grande número de domínios existentes e pelo número de municípios nesses estados. 2.5 Domínios de hospedagem de Malwares Gráfico 5 - Distribuição de Domínios de hospedagem de Malwares Página 4/6
No gráfico 5 percebe-se que o domínio docs.google.com responde pela maior parcela de hospedagem de artefatos maliciosos analisados pelo CTIR Gov, o que já havia sido previsto nas estatísticas do 3º Trimestre de 2012. 2.6 Países destinatários das notificações Gráfico 6 Países destinatários das notificações de incidentes O gráfico 6 apresenta os países destinatários das notificações de incidentes das categorias: Abuso de SMTP, Hospedagem de Malware, Redirecionamento de Malware e Hospedagem de Artefatos. Estados Unidos e Brasil continuam sendo os países destinatários do maior número de notificações de incidentes, com grande diferença para os outros países apresentados. 2.7 Tempo de resolução Gráfico 7 - Distribuição por faixa de tempo de resolução Todas as Categorias de Incidentes Página 5/6
O tempo médio transcorrido entre as notificações do CTIR Gov e a resolução dos incidentes pelos responsáveis é de 7 dias e 14 horas. Deve-se observar que 39,5% dos incidentes são solucionados em até 2 dias (48 horas). 3. Conclusões A ampliação e automatização dos mecanismos de detecção e busca, como também dos procedimentos de tratamento de incidentes, possibilitaram ao CTIR Gov aumentar a amplitude de serviços, mantendo a qualidade dos que vinham sendo oferecidos. As informações apresentadas no presente documento são fruto da colaboração de diversos órgãos da APF com o CTIR Gov, evidenciando a importância da manutenção e melhoria das atividades de segurança da informação no âmbito governamental. Eventuais dúvidas ou sugestões sobre os dados e considerações apresentadas podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede CGTIR, por meio do e- mail: cgtir@planalto.gov.br. Brasília-DF, janeiro de 2013. Equipe CTIR Gov Página 6/6