Realne zagrożenia i trendy na podstawie raportów CERT Polska
Transkrypt
Realne zagrożenia i trendy na podstawie raportów CERT Polska
Realne zagrożenia i trendy na podstawie raportów CERT Polska CERT Polska/NASK Kim jesteśmy? Czym jest CERT Polska: • Zespół działający w ramach Naukowej i Akademickiej Sieci Komputerowej; • Powołany w 1996 roku; • Od 1997 r. jest członkiem FIRST (Forum of Incidents Response and Security Teams), największej na świecie organizacji zrzeszającej zespoły reagujące i zespoły bezpieczeństwa z całego świata; • Od 2000 r. jest członkiem inicjatywy zrzeszającej europejskie zespoły reagujące – TERENA TF-CSIRT i działającej przy tej inicjatywie organizacji Trusted Introducer; Główne zadania zespołu CERT Polska : • rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci; • współpraca z innymi zespołami IRT (Incidents Response Team) – m.in. w ramach FIRST i TERENA TF-CSIRT; • udział w krajowych i międzynarodowych projektach związanych z tematyką bezpieczeństwa teleinformatycznego; Klasyfikacja incydentów CERT Polska od 2003 roku korzysta z klasyfikacji incydentów wypracowanej w ramach projektu eCSIRT.net TYP PODTYP Obraźliwe i nielegalne treści Spam Dyskredytacja, obrażanie Pornografia dziecięca, przemoc Złośliwe oprogramowanie Wirus Robak sieciowy Koń trojański Oprogramowanie szpiegowskie Dialer Gromadzenie Informacji Skanowanie Podsłuch Inżynieria społeczna Klasyfikacja incydentów c.d. TYP PODTYP Próby włamań Wykorzystanie znanych luk systemowych Wykorzystanie nieznanych luk systemowych Próby nieuprawnionego logowania Włamania Włamanie na konto uprzywilejowane Włamanie na konto zwykłe Włamanie do aplikacji Dostępność zasobów Atak blokujący serwis (DoS) Rozproszony atak blokujący serwis (DDoS) Sabotaż komputerowy Bezpieczeństwo informacji Nieuprawniony dostęp do informacji Nieuprawniona zmiana informacji Klasyfikacja incydentów c.d. TYP PODTYP Oszustwa komputerowe Nieuprawnione wykorzystanie zasobów Naruszenie praw autorskich Kradzież tożsamości, podszycie się (m.in. Phishing) Inne O ad st w o in f or ne 1,45 m ac ji In za so bó w 4,79 Be zp ie cz eń ac ji an ia or m W ła m in f ść ni e e w ła m ań ow an i 5 pn o ze by ra m śc i ow e tr e te r al ne pu 5,40 D os tę ro m og Pr ó op r ie le g ko m procent 30 G oś liw e in a 45 Zł e sz us tw br aź liw O Statystyki z obsługi incydentów Rozkład procentowy typów incydentów 40,70 40 35 26,84 25 20 15 15,37 10 4,51 0,56 0,39 0 to Ŝs am procent 25 20 15 5,79 5 4,68 3,45 3,17 1,34 1,34 Po zo st ał e Sp oś am ci, po N ds ar zy us ci ze e ni się e pr aw au to rs ki ch Ko ń tro ja ńs Pr ki ób y Sk ni eu an pr ow aw an ni ie on eg o lo go W wa ła ni m a an ie do W yk ap or lik zy ac st ji R an ob i e R ak oz zn si an pr ec os yc io zo h w lu y ny k at s ys ak te bl m ok ow uj yc ąc h y se rw is (D D oS ) Kr ad zie Ŝ Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów 30 25,95 22,27 17,59 13,20 10 1,22 0 Statystyki z obsługi incydentów Źródła zgłoszeń, ataków i poszkodowani 60 56,5 49,1 39,4 40 35,7 30 20 25,4 24,9 14,2 13,1 8,2 10 0,3 0,3 3,3 4,3 4,2 2,1 0,3 5,8 5,7 2,3 4,9 0,0 ba k śr od e O Poszkodowany Atakujący y an zn Ni e yjn ac ed uk da w cz y O lu b so ba pr rz Je dn os tk a IS P na In Zgłaszający y na ąd o yw at wa bu se A a cy jn ni ek om er ja ty tu c In s in st y tu cj a ds . be Fi rm a zp iec ko m er ze ń cy jn st w a a T 0 C ER procent 50 Statystyki z obsługi incydentów Pochodzenie zgłaszającego, poszkodowanego i atakującego 90 83,2 80 68,9 70 procent 60 50 42,4 40 34,5 31,1 30 23,1 20 8,5 10 0 Zgłaszający Poszkodowany Polska Zagranica Nieznany Atakujący 8,3 Statystyki z obsługi incydentów Rozkład procentowy podtypów incydentów w latach 2003-2008 90 81,6 80 70 procent 60 53,9 51,4 50 40 30 35,3 27,1 24,2 25,9 25,2 20 10 22,3 19,2 18,4 10,610,9 7,9 7,3 4,7 3,4 2,3 3,7 4,7 4,0 0,2 2,5 0,6 1,3 1,3 6,4 5,0 5,8 3,1 0,3 0 Skanowanie Robak sieciowy Spam 2003 17,6 12,5 Koń trojański 2004 2005 2006 KradzieŜ toŜsamości, podszycie się 2007 2008 2,4 1,21,0 5,1 0,8 0,6 0,8 1,5 1,2 Naruszenie praw Rozproszony atak autorskich blokujący serwis (DDoS) Statystyki z obsługi incydentów Liczba incydentów 1996-2008 3000 2516 2500 2427 2108 2000 1796 1500 1196 1222 1013 1000 741 500 50 75 100 105 126 0 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 Trendy i nowe zjawiska Phishing: • Coraz więcej incydentów dotyczących polskich banków; • Wykorzystanie mechanizmu Fast Flux; • Dedykowane złośliwe oprogramowanie zastępuje tradycyjny kanał dystrybucji phishing’u, jakim jest Spam; • Jeden skompromitowany serwer hostuje kilka stron; • Zeus zastąpił Mebroot’a; • Wykorzystanie metody POST; • Pierwsze ataki z wykorzystaniem kodów sms; • Fałszowanie stanu konta po dokonaniu kradzieży • Phishing coraz trudniejszy do zidentyfikowania dla przeciętnego użytkownika; • Malware instalowany w bankomatach; • Ataki skierowane na PDA Trendy i nowe zjawiska Malware: • • Wykorzystanie zaciemnionego JavaScript’u oraz techniki „drive-by download” do dystrybucji złośliwego kodu; Ataki na duże serwisy np. pajacyk.pl source: http://honeynet.org/papers/mws Trendy i nowe zjawiska Inne: • Botnety zarządzane przez WWW i P2P; • Identyfikacja atakującego, szczególnie przy incydentach generowanych przez botnety; • DDoS – ataki na duże instytucje oraz infrastrukture krytyczną; • DDoS – duże ilości danych do przetworzenia (logi), problem z zablokowaniem ataku; • Copyright – duża liczba zgłoszeń z automatów, różne podejście administratorów, problem z identyfikacją w sieciach NAT; • Hosting próbny; • Serwery znajdujące się w Chinach, Rosji (RBN) itp.; Raport CERT Polska 2008 Raport CERT Polska za rok 2008 dostępny pod adresem: • http://www.cert.pl/PDF/Raport_CP_2008.pdf