Taxonomia Comum para a Rede Nacional de CSIRTs
Taxonomia Comum para a Rede Nacional de CSIRTs Dezembro de 2012
ÍNDICE 1 INTRODUÇÃO... 2 2 CLASSIFICAÇÃO DE INCIDENTES... 3 i
1 INTRODUÇÃO Este documento pretende descrever a Taxonomia comum para a classificação de incidentes na Rede Nacional de CSIRTs. Rede Nacional de CSIRTs 2
2 CLASSIFICAÇÃO DE INCIDENTES A classificação de incidentes deverá ser feita de acordo com 2 vetores Tipo de Incidente e Tipo de Evento. No modelo de classificação de incidentes adotado foi ainda decidida uma divisão dos vários Tipos específicos de incidentes por Classes genéricas que agrupam conjuntos de incidentes com resultados ou objetivos semelhantes. Para além das Classes e Tipos de incidentes foi ainda identificado um conjunto de eventos associados a cada Tipo de incidente. A tabela seguinte elenca os tipos de evento presentes na taxonomia comum para a Rede Nacional de CSIRTs. Tipo de Evento Descrição Sistema(s) infetado(s) com malware conhecido Detetado num sistema a presença de qualquer um dos tipos de malware. Disseminação de malware através de email Malware anexado a mensagem ou presença de link para URL malicioso em mensagem de correio eletrónico. Alojamento de malware em página web Alojamento de servidor de C&C Página web que se encontra a disseminar um dos vários tipos de malware. Sistema que é usado como ponto de controlo de uma botnet. Também se incluí neste campo os sistemas que servem como ponto de recolha de dados roubados através de botnets. Replicação e disseminação de worm Sistema infetado com um Worm que tenta infetar outros sistemas. Ligação a porto(s) suspeito(s), associado(s) a um determinado malware Ligação a sistema(s) suspeito(s) associado(s) a um determinado malware Flood de pedidos Sistema que efetua tentativas de acesso a um porto geralmente associado a um determinado tipo de malware. Sistema que efetua tentativas de acesso a um endereço IP ou URL geralmente associado a um determinado tipo de malware como por exemplo - C&C ou página para distribuição de componentes associados a uma determinada botnet. Envio massivo de pedidos (pacotes de rede, emails, etc...), a partir de uma única fonte, a um determinado serviço com o objetivo de afetar o seu funcionamento. Rede Nacional de CSIRTs 3
Exploit ou ferramenta para Utilização, a partir de uma única fonte, de software especialmente esgotamento de recursos (rede, concebido para afetar o funcionamento de um determinado serviço capacidade processamento, sessões, através da exploração de uma vulnerabilidade no mesmo. etc ) Flood distribuído de pacotes Envio massivo de pedidos (pacotes de rede, emails, etc...), a partir de várias fontes, a um determinado serviço com o objetivo de afetar o seu funcionamento. Exploit ou ferramenta distribuídos para esgotamento de recursos Vandalismo Disrupção intencional de mecanismos de transmissão e tratamento de dados Probe a sistema Utilização, a partir de várias fontes, de software especialmente concebido para afetar o funcionamento de um determinado serviço através da exploração de uma vulnerabilidade no mesmo. Atividades lógicas e físicas que não tenham como objetivo premeditado danificar a informação ou evitar a sua transmissão entre sistemas, mas que tenham essa consequência. Atividades lógicas e físicas que tenham como objetivo premeditado danificar a informação ou evitar a sua transmissão entre sistemas. Scan a um único sistema à procura de portos abertos ou serviços a responderem nesses portos. Scan de rede Scan a uma rede de sistemas, com o objetivo de identificar sistemas que estejam ativos nessa mesma rede. Transferência zona DNS Transferência de uma determinada zona de DNS. Wiretapping Interceção lógica ou física de comunicações. Disseminação de emails de phishing Envio massivo de emails com o objetivo de recolher dados para efeitos de Phishing das vítimas. Alojamento de sites de phishing Alojamento de sites web para efeitos de phishing. Agregação de informação recolhida em esquemas de phishing Recolha de dados resultantes de ataques de phishing através de páginas web, contas de correio eletrónico, etc Tentativa de utilização de exploit Utilização, sem sucesso, de uma ferramenta que explora uma determinada vulnerabilidade no sistema. Tentativa de SQL Injection Tentativa, sem sucesso, de manipulação ou leitura de dados em base de dados, através da técnica de SQL Injection. Tentativa de XSS Tentativa, sem sucesso, de ataques recorrendo a técnicas de cross-site scripting. Rede Nacional de CSIRTs 4
Tentativa de file inclusion Tentativa, sem sucesso, de inclusão de ficheiros no sistema vítima através de técnicas de file inclusion. Tentativa de brute-force Tentativa de Login, sem sucesso, em sistema através da utilização de credenciais sequenciais de acesso. Tentativa de password cracking Tentativa de descoberta de credenciais de acesso através da quebra dos mecanismos criptográficos que os protegem. Tentativa de ataque dicionário Tentativa de login, sem sucesso, em sistema através da utilização de credenciais de acesso pré-carregadas em dicionário. Utilização de exploit local ou remoto Utilização, com sucesso, de uma ferramenta que explora uma determinada vulnerabilidade no sistema. SQL Injection Manipulação ou leitura de dados em base de dados, através da técnica de SQL Injection. XSS Ataques recorrendo a técnicas de cross-site scripting. File inclusion Inclusão de ficheiros no sistema vítima através de técnicas de file inclusion. Bypass sistema controle Acesso indevido a sistema ou componente contornando um sistema de controlo de acesso existente. Roubo de credenciais de acesso Acesso indevido a sistema ou componente através da utilização de credenciais de acesso roubadas. Acesso indevido e sistema Acesso não autorizado a um sistema ou componente. Acesso indevido a informação Acesso não autorizado a um conjunto de informações. Exfiltração de dados Acesso e partilha não autorizados de um determinado conjunto de informações. Modificação de informação Alteração indevida de um determinado conjunto de informações. Eliminação de informação Eliminação indevida de um determinado conjunto de informações. Rede Nacional de CSIRTs 5
Utilização indevida ou não autorizada de recursos Utilização de recursos da instituição para fins diferentes daqueles para que os mesmos foram afetos. Utilização ilegítima de nome da instituição ou de terceiros Utilização de nome da instituição sem autorização da mesma. Flood de emails Envio de número anormalmente elevado de mensagens de correio eletrónico. Envio de mensagem não solicitada Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei (crimes públicos). Envio de mensagem de correio eletrónica não solicitada ou pretendida pelo destinatário. Distribuição ou partilha de conteúdos protegidos por direitos de autor e direitos conexos. Distribuição ou partilha de conteúdos ilegais como pornografia infantil, racismo, xenofobia, etc Outro evento não especificado Outro evento não constante da lista. Indeterminado Campo para classificação de eventos não tratados e indeterminados na sua génese. Tabela 1 - Classificação de Eventos Numa fase ulterior o incidente deve ser classificado por tipo, segundo a seguinte tabela. Sempre que um incidente possa ser classificado em vários Tipos de Incidente, deverá ser adotada a ordem refletida na tabela, sendo escolhido o tipo de incidente mais acima na tabela. Classe de Incidente Tipo de Incidente Descrição Infeção Malware Distribuição Infeção de um ou vários sistemas com um determinado tipo de malware. C&C Rede Nacional de CSIRTs 6
Indeterminado Disponibilidade DoS/DDoS Sabotagem Disrupção da capacidade de processamento e resposta dos sistemas e redes por forma a torna-los inoperacionais. Ação premeditada para danificar um sistema, interromper um processo, alterar ou eliminar informação, etc Scan Recolha ativa e passiva de informação acerca de sistema ou redes. Recolha de Informação Sniffing Monitorização e leitura não autorizada de tráfego de rede Phishing Tentativa de recolha de informação acerca de utilizador ou sistema através de métodos de phishing. Tentativa de Intrusão Exploração de Vulnerabilidade Tentativa de login Tentativa de intrusão explorando uma vulnerabilidade num sistema, componente ou rede. Tentativa de login em serviços ou mecanismos de autenticação / controlo de acesso Intrusão Exploração de vulnerabilidade Compromisso de Conta Intrusão efetiva explorando uma vulnerabilidade num sistema, componente ou rede. Intrusão efetiva num sistema, componente ou rede através do compromisso de uma conta de Utilizador ou Administrador. Segurança da Informação Fraude Acesso não autorizado Modificação / Remoção não autorizada Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome de terceiros Acesso não autorizado a um determinado conjunto de informações Alteração ou eliminação não autorizada de um determinado conjunto de informações Utilização de recursos da instituição para fins diferentes daqueles para que os mesmos foram afetos. Utilização de nome da instituição sem autorização da mesma. Conteúdo Abusivo SPAM Envio de mensagens de SPAM Rede Nacional de CSIRTs 7
Direitos de autor Pornografia infantil, racismo e apologia da violência Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei. Outra Outro Outro tipo de incidente não especificado Tabela 2 - Classificação de Incidentes Porque poderá ser necessário aplicar mecanismos de classificação automática de incidentes, sugere-se como referência o seguinte modelo relacional entre Tipos de Evento e Tipos de Incidente. Importa no entanto esta associação não é estrita, podendo um determinado Evento estar associado a qualquer Tipo de Incidente. Tipo de Evento Tipo Incidente Classe de Incidente Sistema(s) ou software(s) infetado(s) com malware permitindo acesso remoto, monitorização de atividades do sistema e recolha de informações. Infeção Disseminação de malware através de vários canais de comunicação. Alojamento de servidor C&C Distribuição C&C Malware Ligação a sistema(s) ou portos(s)suspeito(s) associado(s) a um determinado malware. Indeterminado Exploit ou ferramenta (individual ou distribuída) para esgotamento de recursos (rede, capacidade processamento, sessões, etc ). Flood (individual ou distribuído) de pedidos Vandalismo Disrupção intencional de mecanismos de transmissão e tratamento de dados. DoS/DDoS Sabotagem Disponibilidade Rede Nacional de CSIRTs 8
Probe a sistema Scan de rede Scan Transferência zona DNS Wiretapping Sniffing Recolha de Informação Disseminação de emails de phishing Alojamento de sites de phishing Phishing Agregação de informação recolhida em esquemas de phishing Tentativa de utilização de exploit Tentativa de SQL Injection Tentativa de XSS Exploração de Vulnerabilidade Tentativa de File Inclusion Tentativa de Intrusão Tentativa de Brute-force Tentativa de password cracking Tentativa de login Tentativa de Ataque Dicionário Rede Nacional de CSIRTs 9
Utilização de exploit local ou remoto SQL Injection XSS File Inclusion Exploração de vulnerabilidade Intrusão Bypass sistema controle Roubo de credenciais de acesso Compromisso de Conta Acesso indevido e sistema Acesso indevido a informação Acesso não autorizado Exfiltração de dados Segurança da Informação Modificação de informação Eliminação de informação Modificação / Remoção não autorizada Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome da instituição ou de terceiros Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome de terceiros Fraude Flood de emails Envio de mensagem não solicitada SPAM Conteúdo Abusivo Rede Nacional de CSIRTs 10
Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei (crimes públicos). Direitos de autor Pornografia infantil, racismo e apologia da violência Outro evento não especificado Outro Outra Indeterminado Tabela 3 - Relação entre Tipos de Evento e Tipos de Incidente Rede Nacional de CSIRTs 11