Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Transkrypt

1 Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK

2 Kim jesteśmy? Czym jest CERT Polska: Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; Powołany w 1996 roku; Od 1997 r. jest członkiem FIRST (Forum of IncidentsResponseandSecurity Teams), największej na świecie organizacji zrzeszającej zespoły reagujące i zespoły bezpieczeństwa z całego świata; Od 2000 r. jest członkiem inicjatywy zrzeszającej europejskie zespoły reagujące TERENA TF-CSIRT i działającej przy tej inicjatywie organizacji Trusted Introducer; Główne zadania zespołu CERT Polska: rejestrowanie i obsługa zdarzeńnaruszających bezpieczeństwo sieci; współpraca z innymi zespołami IRT (IncidentsResponseTeam) m.in. w ramach FIRST i TERENA TF-CSIRT; udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego;

3 Klasyfikacja incydentów CERT Polska od 2003 roku korzysta z klasyfikacji incydentów wypracowanej w ramach projektu ecsirt.net TYP PODTYP Obraźliwe i nielegalne treści Spam Dyskredytacja, obrażanie Pornografia dziecięca, przemoc Złośliwe oprogramowanie Wirus Robak sieciowy Koń trojański Oprogramowanie szpiegowskie Dialer Gromadzenie Informacji Skanowanie Podsłuch Inżynieria społeczna

4 Klasyfikacja incydentów c.d. TYP PODTYP Próby włamań Wykorzystanie znanych luk systemowych Wykorzystanie nieznanych luk systemowych Próby nieuprawnionego logowania Włamania Włamanie na konto uprzywilejowane Włamanie na konto zwykłe Włamanie do aplikacji Dostępność zasobów Atak blokujący serwis (DoS) Rozproszony atak blokujący serwis (DDoS) Sabotaż komputerowy Bezpieczeństwo informacji Nieuprawniony dostęp do informacji Nieuprawniona zmiana informacji

5 Klasyfikacja incydentów c.d. TYP PODTYP Oszustwa komputerowe Nieuprawnione wykorzystanie zasobów Naruszenie praw autorskich Kradzież tożsamości, podszycie się(m.in. Phishing) Inne

6 ,70 26,84 Statystyki z obsługi incydentów Rozkład procentowy typów incydentów 15,37 5,40 4,79 4,51 1,45 0,56 0,39 Złośliwe oprogramowanie Próby włamań Gromadzenie informacji Włamania Dostępność zasobów Inne Bezpieczeństwo informacji Obraźliwe i nielegalne treści Oszustwa komputerowe procent

7 ,95 22,27 17,59 Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów 13,20 5,79 4,68 3,45 3,17 1,34 1,34 1,22 Koń trojański Skanowanie Próby nieuprawnionego logowania Włamanie do aplikacji Robak sieciowy Wykorzystanie znanych luk systemowych Rozproszony atak blokujący serwis (DDoS) Pozostałe Naruszenie praw autorskich KradzieŜ toŝsamości, podszycie się Spam procent

8 ,2 39,4 49,1 56,5 24,9 Statystyki z obsługi incydentów Źródła zgłoszeń, ataków i poszkodowani 35,7 25,4 0,3 0,3 13,1 8,2 3,3 4,3 4,2 5,7 5,8 4,9 2,1 2,3 0,3 0,0 ISP Abuse Jednostka rządowa Osoba prywatna Ośrodek badawczy lub edukacyjny Nieznany Zgłaszający Poszkodowany Atakujący Instytucja niekomercyjna Inna instytucja ds. bezpieczeństwa Firma komercyjna CERT procent

9 Statystyki z obsługi incydentów Pochodzenie zgłaszającego, poszkodowanego i atakującego ,9 83,2 procent ,1 23,1 42,4 34, ,5 8,3 0 Zgłaszający Poszkodowany Atakujący Polska Zagranica Nieznany

10 Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów w latach ,6 procent ,9 51,4 35, ,1 25,9 24,2 25,2 4,7 18,4 10,610,9 7,3 3,4 3,7 4,0 2,3 1,3 12,5 22,3 19,2 Skanowanie Robak sieciowy Spam Koń trojański KradzieŜ toŝsamości, podszycie się 7,9 4,7 5,0 5,8 6,4 5,1 3,1 0,6 1,3 0,2 2,5 2,4 0,8 0,6 0,8 1,5 0,3 1,21,0 1,2 17,6 Naruszenie praw autorskich Rozproszony atak blokujący serwis (DDoS)

11 Statystyki z obsługi incydentów Liczba incydentów

12 Trendy i nowe zjawiska Phishing: Coraz więcej incydentów dotyczących polskich banków; Wykorzystanie mechanizmu Fast Flux; Dedykowane złośliwe oprogramowanie zastępuje tradycyjny kanałdystrybucji phishing u, jakim jest Spam; Jeden skompromitowany serwer hostuje kilka stron; Zeus zastąpił Mebroot a; Wykorzystanie metody POST; Pierwsze ataki z wykorzystaniem kodów sms; Fałszowanie stanu konta po dokonaniu kradzieży Phishing coraz trudniejszy do zidentyfikowania dla przeciętnego użytkownika; Malware instalowany w bankomatach; Ataki skierowane na PDA

13 Trendy i nowe zjawiska Malware: Wykorzystanie zaciemnionego JavaScript u oraz techniki drive-bydownload do dystrybucji złośliwego kodu; Ataki na duże serwisy np. pajacyk.pl source:

14 Trendy i nowe zjawiska Inne: Botnety zarządzane przez WWW i P2P; Identyfikacja atakującego, szczególnie przy incydentach generowanych przez botnety; DDoS ataki na duże instytucje oraz infrastrukture krytyczną; DDoS duże ilości danych do przetworzenia (logi), problem z zablokowaniem ataku; Copyright duża liczba zgłoszeńz automatów, różne podejście administratorów, problem z identyfikacją w sieciach NAT; Hosting próbny; Serwery znajdujące się w Chinach, Rosji (RBN) itp.;

15 Raport CERT Polska 2008 Raport CERT Polska za rok 2008 dostępny pod adresem:

16