Taxonomia Comum para a Rede Nacional de CSIRTs

Documentos relacionados
Perspectiva da Polícia Judicária

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Inicialmente as redes passaram a ser utilizadas principalmente para o compartilhamento de periféricos, principalmente discos rígidos.

Alterações de endereços IP (IP Spoofing). Alterações de endereços ARP (ARP Spoofing). Alterações dos cabeçalhos das mensagens de correio eletrônico.

Segurança da Informação

Arquitetura de um sistema integrado de defesa cibernética para detecção. de botnets

TECNOLOGIA DA INFORMAÇÃO

SEGURANÇA NA INTERNET

acidentes, acontecem

Simulado Aula 02 INSS INFORMÁTICA. Prof. Márcio Hunecke

FAQ. App EuroBic. FAQ e informações sobre segurança

474QU35 J1y4n y4r

Book com terminologias DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE UTILIZAÇÃO RESPONSÁVEL DOS SERVIÇOS

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:

Segurança da Informação

DoS, DDoS & Botnets. Alunos: Lucas Gomes, Marcos Seefelder, Vinicius Campos Professor: Otto Carlos Muniz Bandeira Duarte

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Tecnologias da Informação e Comunicação

Introdução em Segurança de Redes

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

INTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro

Cross-Site Scripting (XSS): Entendendo o conceito e seus tipos

Saibam como os malwares atacam o vosso computador

I WORKSHOP DE TECNOLOGIA DE REDES Ponto de Presença da RNP em Santa Catarina Rede Metropolitana de Educação e Pesquisa da Região de Florianópolis

Serviço que permite acesso a documentos multimídia. As chamadas páginas da Web, os sites.

1. Introdução PUBLIC - 1

Tendências em Atividades Maliciosas na Internet Brasileira

Ransomware: o que é? Madan Parque Sul, Quinta da Torre Edificio B Piso Caparica Tel

POLÍTICA DE UTILIZAÇÃO DO SÍTIO E ÁREA DE CLIENTE

Revisor Data da Revisão Controlo de Versão. Natalia Costa, Carlos Costa 13/02/

SQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Desafios de defesa cibernética na Internet do Futuro. Antonio M. Moreiras

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

CONFIGURAÇÃO DA CAIXA DE CORREIO ELETRÓNICO

Política de Privacidade Aplicativo Sistel

ESCOLA E.B. 2,3/S DE VILA FLOR. 6 Comunicação e colaboração. Ferramentas e ambientes de Comunicação

PRIVACIDADE E SEGURANÇA

Webinário Informática INSS Prof. Paulo França

Condições gerais de utilização da área reservada do Portal da Câmara Municipal do Porto no âmbito da Taxa Municipal Turística

Tratamento de Incidentes

Monitorização do Servidor de

Hardening de equipamentos

Cibersegurança. A seguir, vamos apresentar um resumo dos principais conceitos associados à segurança que são abordados no setor de TI.

INFORMÁTICA. Com o Professor: Rene Maas

CONFIGURAÇÃO DA CAIXA DE CORREIO ELETRÓNICO

Índice. Data: Ref.ª Versão: 30/09/2016 SPMS/ de 10

Segurança: Tendências Atuais e Recomendações do NBSO

Incidentes de segurança na RNP: números e ações em resposta. 2º EnSI

Avaliando o impacto de ataques simultâneos ao sistema de gerenciamento de Cloud Computing com árvore de ataque

ANEXO AO REGULAMENTO DO PASSATEMPO LOVE FOR THE ONES I CARE

IX (PTT) Fórum 11 São Paulo, SP 04 de dezembro de 2017

1. Monitorização. Índice. 1.1 Principais pontos críticos

Lar 2.0: há mais dispositivos ligados que pessoas e animais

Semana da Internet Segura Correio Eletrónico

INFORMAÇÃO E CONTEÚDOS ONLINE. aproximação legislativa portuguesa

Introdução à Computação

Política de Privacidade

DECLARAÇÃO DE PRIVACIDADE

Segurança Informática em Redes e Sistemas

Segurança Informática pessoal na FEUP

A privacidade do utilizador é importante para a Casa d Óbidos Turismo Rural, Lda, à frente

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

TERMOS E CONDIÇÕES GERAIS DE UTILIZAÇÃO

Segurança da Informação nas Universidades A Experiência da UFRN

Redes de Computadores Turma : TADS M

A privacidade do utilizador é importante para a Fernando Madeira de Oliveira, Lda, á frente


Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

FRAUDES NA INTERNET. Não seja vítima...nem vilão. VIII Encontro de Segurança em Informática 03 de outubro de 2018

Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO

A Oikos é a entidade responsável pela recolha e tratamento dos dados pessoais dos Utilizadores.

1. Introdução. 2. Política de Cookies

ERP PRIMAVERA STARTER V9.15

20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP

H11 GESTÃO DE RECURSOS LTDA.

Plataforma de submissa o de Petiço es, Iniciativas Legislativas de Cidada os e Iniciativas de Referendo. Manual do Utilizador

INSTITUTO DE PREVIDÊNCIA SOCIAL DOS SERVIDORES PÚBLICOS MUNICIPAIS DE SANTOS

RELATÓRIO ANUAL Destaques do Tratamento de Incidentes em 2010

Guia de dupla autenticação

Trabalho de laboratório sobre HTTP

A ERA DOS CRYPTO RANSOMWARES: UM ESTUDO DE CASO SOBRE O WANNACRY. Acadêmicos: Rafael Rosário e Vanessa Lucion

RGPD - Declaração de Privacidade

INSTRUÇÃO NORMATIVA Nº 03 CAGV/IFMG/SETEC/MEC DE 14 DE OUTUBRO DE 2016.

Tecnologias da Informação e Comunicação. Correio eletrónico

Ao subscreveres o nosso serviço, estás aceitando os termos e condições definidos em baixo:

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini /

SOLO NETWORK. Guia de dupla autenticação

POLÍTICA DE PRIVACIDADE Site

Transcrição:

Taxonomia Comum para a Rede Nacional de CSIRTs

Taxonomia Comum para a Rede Nacional de CSIRTs Dezembro de 2012

ÍNDICE 1 INTRODUÇÃO... 2 2 CLASSIFICAÇÃO DE INCIDENTES... 3 i

1 INTRODUÇÃO Este documento pretende descrever a Taxonomia comum para a classificação de incidentes na Rede Nacional de CSIRTs. Rede Nacional de CSIRTs 2

2 CLASSIFICAÇÃO DE INCIDENTES A classificação de incidentes deverá ser feita de acordo com 2 vetores Tipo de Incidente e Tipo de Evento. No modelo de classificação de incidentes adotado foi ainda decidida uma divisão dos vários Tipos específicos de incidentes por Classes genéricas que agrupam conjuntos de incidentes com resultados ou objetivos semelhantes. Para além das Classes e Tipos de incidentes foi ainda identificado um conjunto de eventos associados a cada Tipo de incidente. A tabela seguinte elenca os tipos de evento presentes na taxonomia comum para a Rede Nacional de CSIRTs. Tipo de Evento Descrição Sistema(s) infetado(s) com malware conhecido Detetado num sistema a presença de qualquer um dos tipos de malware. Disseminação de malware através de email Malware anexado a mensagem ou presença de link para URL malicioso em mensagem de correio eletrónico. Alojamento de malware em página web Alojamento de servidor de C&C Página web que se encontra a disseminar um dos vários tipos de malware. Sistema que é usado como ponto de controlo de uma botnet. Também se incluí neste campo os sistemas que servem como ponto de recolha de dados roubados através de botnets. Replicação e disseminação de worm Sistema infetado com um Worm que tenta infetar outros sistemas. Ligação a porto(s) suspeito(s), associado(s) a um determinado malware Ligação a sistema(s) suspeito(s) associado(s) a um determinado malware Flood de pedidos Sistema que efetua tentativas de acesso a um porto geralmente associado a um determinado tipo de malware. Sistema que efetua tentativas de acesso a um endereço IP ou URL geralmente associado a um determinado tipo de malware como por exemplo - C&C ou página para distribuição de componentes associados a uma determinada botnet. Envio massivo de pedidos (pacotes de rede, emails, etc...), a partir de uma única fonte, a um determinado serviço com o objetivo de afetar o seu funcionamento. Rede Nacional de CSIRTs 3

Exploit ou ferramenta para Utilização, a partir de uma única fonte, de software especialmente esgotamento de recursos (rede, concebido para afetar o funcionamento de um determinado serviço capacidade processamento, sessões, através da exploração de uma vulnerabilidade no mesmo. etc ) Flood distribuído de pacotes Envio massivo de pedidos (pacotes de rede, emails, etc...), a partir de várias fontes, a um determinado serviço com o objetivo de afetar o seu funcionamento. Exploit ou ferramenta distribuídos para esgotamento de recursos Vandalismo Disrupção intencional de mecanismos de transmissão e tratamento de dados Probe a sistema Utilização, a partir de várias fontes, de software especialmente concebido para afetar o funcionamento de um determinado serviço através da exploração de uma vulnerabilidade no mesmo. Atividades lógicas e físicas que não tenham como objetivo premeditado danificar a informação ou evitar a sua transmissão entre sistemas, mas que tenham essa consequência. Atividades lógicas e físicas que tenham como objetivo premeditado danificar a informação ou evitar a sua transmissão entre sistemas. Scan a um único sistema à procura de portos abertos ou serviços a responderem nesses portos. Scan de rede Scan a uma rede de sistemas, com o objetivo de identificar sistemas que estejam ativos nessa mesma rede. Transferência zona DNS Transferência de uma determinada zona de DNS. Wiretapping Interceção lógica ou física de comunicações. Disseminação de emails de phishing Envio massivo de emails com o objetivo de recolher dados para efeitos de Phishing das vítimas. Alojamento de sites de phishing Alojamento de sites web para efeitos de phishing. Agregação de informação recolhida em esquemas de phishing Recolha de dados resultantes de ataques de phishing através de páginas web, contas de correio eletrónico, etc Tentativa de utilização de exploit Utilização, sem sucesso, de uma ferramenta que explora uma determinada vulnerabilidade no sistema. Tentativa de SQL Injection Tentativa, sem sucesso, de manipulação ou leitura de dados em base de dados, através da técnica de SQL Injection. Tentativa de XSS Tentativa, sem sucesso, de ataques recorrendo a técnicas de cross-site scripting. Rede Nacional de CSIRTs 4

Tentativa de file inclusion Tentativa, sem sucesso, de inclusão de ficheiros no sistema vítima através de técnicas de file inclusion. Tentativa de brute-force Tentativa de Login, sem sucesso, em sistema através da utilização de credenciais sequenciais de acesso. Tentativa de password cracking Tentativa de descoberta de credenciais de acesso através da quebra dos mecanismos criptográficos que os protegem. Tentativa de ataque dicionário Tentativa de login, sem sucesso, em sistema através da utilização de credenciais de acesso pré-carregadas em dicionário. Utilização de exploit local ou remoto Utilização, com sucesso, de uma ferramenta que explora uma determinada vulnerabilidade no sistema. SQL Injection Manipulação ou leitura de dados em base de dados, através da técnica de SQL Injection. XSS Ataques recorrendo a técnicas de cross-site scripting. File inclusion Inclusão de ficheiros no sistema vítima através de técnicas de file inclusion. Bypass sistema controle Acesso indevido a sistema ou componente contornando um sistema de controlo de acesso existente. Roubo de credenciais de acesso Acesso indevido a sistema ou componente através da utilização de credenciais de acesso roubadas. Acesso indevido e sistema Acesso não autorizado a um sistema ou componente. Acesso indevido a informação Acesso não autorizado a um conjunto de informações. Exfiltração de dados Acesso e partilha não autorizados de um determinado conjunto de informações. Modificação de informação Alteração indevida de um determinado conjunto de informações. Eliminação de informação Eliminação indevida de um determinado conjunto de informações. Rede Nacional de CSIRTs 5

Utilização indevida ou não autorizada de recursos Utilização de recursos da instituição para fins diferentes daqueles para que os mesmos foram afetos. Utilização ilegítima de nome da instituição ou de terceiros Utilização de nome da instituição sem autorização da mesma. Flood de emails Envio de número anormalmente elevado de mensagens de correio eletrónico. Envio de mensagem não solicitada Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei (crimes públicos). Envio de mensagem de correio eletrónica não solicitada ou pretendida pelo destinatário. Distribuição ou partilha de conteúdos protegidos por direitos de autor e direitos conexos. Distribuição ou partilha de conteúdos ilegais como pornografia infantil, racismo, xenofobia, etc Outro evento não especificado Outro evento não constante da lista. Indeterminado Campo para classificação de eventos não tratados e indeterminados na sua génese. Tabela 1 - Classificação de Eventos Numa fase ulterior o incidente deve ser classificado por tipo, segundo a seguinte tabela. Sempre que um incidente possa ser classificado em vários Tipos de Incidente, deverá ser adotada a ordem refletida na tabela, sendo escolhido o tipo de incidente mais acima na tabela. Classe de Incidente Tipo de Incidente Descrição Infeção Malware Distribuição Infeção de um ou vários sistemas com um determinado tipo de malware. C&C Rede Nacional de CSIRTs 6

Indeterminado Disponibilidade DoS/DDoS Sabotagem Disrupção da capacidade de processamento e resposta dos sistemas e redes por forma a torna-los inoperacionais. Ação premeditada para danificar um sistema, interromper um processo, alterar ou eliminar informação, etc Scan Recolha ativa e passiva de informação acerca de sistema ou redes. Recolha de Informação Sniffing Monitorização e leitura não autorizada de tráfego de rede Phishing Tentativa de recolha de informação acerca de utilizador ou sistema através de métodos de phishing. Tentativa de Intrusão Exploração de Vulnerabilidade Tentativa de login Tentativa de intrusão explorando uma vulnerabilidade num sistema, componente ou rede. Tentativa de login em serviços ou mecanismos de autenticação / controlo de acesso Intrusão Exploração de vulnerabilidade Compromisso de Conta Intrusão efetiva explorando uma vulnerabilidade num sistema, componente ou rede. Intrusão efetiva num sistema, componente ou rede através do compromisso de uma conta de Utilizador ou Administrador. Segurança da Informação Fraude Acesso não autorizado Modificação / Remoção não autorizada Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome de terceiros Acesso não autorizado a um determinado conjunto de informações Alteração ou eliminação não autorizada de um determinado conjunto de informações Utilização de recursos da instituição para fins diferentes daqueles para que os mesmos foram afetos. Utilização de nome da instituição sem autorização da mesma. Conteúdo Abusivo SPAM Envio de mensagens de SPAM Rede Nacional de CSIRTs 7

Direitos de autor Pornografia infantil, racismo e apologia da violência Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei. Outra Outro Outro tipo de incidente não especificado Tabela 2 - Classificação de Incidentes Porque poderá ser necessário aplicar mecanismos de classificação automática de incidentes, sugere-se como referência o seguinte modelo relacional entre Tipos de Evento e Tipos de Incidente. Importa no entanto esta associação não é estrita, podendo um determinado Evento estar associado a qualquer Tipo de Incidente. Tipo de Evento Tipo Incidente Classe de Incidente Sistema(s) ou software(s) infetado(s) com malware permitindo acesso remoto, monitorização de atividades do sistema e recolha de informações. Infeção Disseminação de malware através de vários canais de comunicação. Alojamento de servidor C&C Distribuição C&C Malware Ligação a sistema(s) ou portos(s)suspeito(s) associado(s) a um determinado malware. Indeterminado Exploit ou ferramenta (individual ou distribuída) para esgotamento de recursos (rede, capacidade processamento, sessões, etc ). Flood (individual ou distribuído) de pedidos Vandalismo Disrupção intencional de mecanismos de transmissão e tratamento de dados. DoS/DDoS Sabotagem Disponibilidade Rede Nacional de CSIRTs 8

Probe a sistema Scan de rede Scan Transferência zona DNS Wiretapping Sniffing Recolha de Informação Disseminação de emails de phishing Alojamento de sites de phishing Phishing Agregação de informação recolhida em esquemas de phishing Tentativa de utilização de exploit Tentativa de SQL Injection Tentativa de XSS Exploração de Vulnerabilidade Tentativa de File Inclusion Tentativa de Intrusão Tentativa de Brute-force Tentativa de password cracking Tentativa de login Tentativa de Ataque Dicionário Rede Nacional de CSIRTs 9

Utilização de exploit local ou remoto SQL Injection XSS File Inclusion Exploração de vulnerabilidade Intrusão Bypass sistema controle Roubo de credenciais de acesso Compromisso de Conta Acesso indevido e sistema Acesso indevido a informação Acesso não autorizado Exfiltração de dados Segurança da Informação Modificação de informação Eliminação de informação Modificação / Remoção não autorizada Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome da instituição ou de terceiros Utilização indevida ou não autorizada de recursos Utilização ilegítima de nome de terceiros Fraude Flood de emails Envio de mensagem não solicitada SPAM Conteúdo Abusivo Rede Nacional de CSIRTs 10

Distribuição ou partilha de conteúdos protegidos por direitos de autor Disseminação de conteúdos proibidos por lei (crimes públicos). Direitos de autor Pornografia infantil, racismo e apologia da violência Outro evento não especificado Outro Outra Indeterminado Tabela 3 - Relação entre Tipos de Evento e Tipos de Incidente Rede Nacional de CSIRTs 11

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback