Presidência da República

Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da APF

ESTATÍSTICAS DE INCIDENTES DE REDE NA APF – 1° SEMESTRE/2012

1. APRESENTAÇÃO
As informações estatísticas publicadas no presente documento cumprem o princípio
básico de publicidade contido na Lei de Acesso e referem-se ao primeiro semestre do ano de
2012 (01/01/2012 a 30/06/2012). Tem por objetivo apresentar detalhes sobre o trabalho de
detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de
Incidentes de Segurança de Redes de Computadores da Administração Pública Federal – CTIR
Gov.
A atividade de tratamento de incidentes de rede executada pelo CTIR Gov é desenvolvida
dentro de uma filosofia de melhoria contínua, fato que conduz a frequentes adaptações na
metodologia e nos processos adotados pelo Centro. Esses ajustes alteram, ainda, a maneira de
organizar os dados estatísticos referentes aos incidentes de rede da APF.
Fruto da busca pela qualidade, o CTIR Gov aperfeiçoa periodicamente as ferramentas e
técnicas empregadas nas diversas fases que compõem sua atividade-fim, estabelecendo critérios
para a classificação e o tratamento adequados às novas demandas constantemente criadas pelo
dinamismo da área de segurança.
Além de preparar a forma de trabalho para o futuro, o CTIR Gov também realiza ajustes
retroativos que objetivam diminuir eventuais distorções e reorganizar dados relacionados aos
incidentes já notificados, a fim de conferir uniformidade às estatísticas extraídas. Este trabalho
pode ser constatado na comparação dos gráficos expostos nesta publicação com os apresentados
na anterior, referente ao período de Abril de 2011 a Março de 2012.
Eventuais dúvidas ou sugestões sobre os dados e considerações apresentadas a seguir
podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede – CGTIR,
por meio do e-mail cgtir@planalto.gov.br.

Página 1/6

no sítio do CTIR Gov. Gráfico 1 .Distribuição de notificações por Status e mês de criação O agrupamento das notificações por mês de criação e status exibido no Gráfico 1 permite a observação de alguns aspectos relevantes:  Redução no número de notificações rejeitadas: Os mecanismos automatizados de detecção e notificação desenvolvidos pelo CTIR Gov foram revistos e aperfeiçoados durante o mês de janeiro e as novas versões foram colocadas em produção a partir do dia 02 de fevereiro. ou seja. Essas ações objetivaram reduzir o número de “falso-positivos” notificados e resultou em queda significativa na quantidade média de notificações rejeitadas. ou seja. de incidentes que dependem da ação de Página 2/6 . a equipe CTIR Gov terminou o desenvolvimento de módulos dedicados ao controle mais eficiente dos tíquetes “Pendentes”.  Redução do número de incidentes pendentes: No início do mês de abril. (c) Pendente: aguarda ação de terceiro para resolução e (d) Rejeitado: detecção de falso positivo ou notificação de não-incidente.2. tratamento realizado com sucesso. GRÁFICOS 2. Paralelamente a essa iniciativa.br. o CTIR Gov define (a) Notificado: evento reportado ao Centro por meio do endereço ctir@ctir. (b) Resolvido: incidente finalizado.gov.1 – Distribuição de notificações de incidentes por Status e mês de criação Para padronização. houve sensível melhoria nas notificações enviadas pelas ETIR da APF após a publicação das “Padronizações para notificações de incidentes de segurança”.

 Aumento da proporção de incidentes resolvidos: Fruto das ações descritas nos itens acima. Além de implantar esse módulo. Indireta.2 – Distribuição de incidentes por classificação Gráfico 2 . Em comparação com a última publicação de estatísticas do CTIR Gov. a proporção de incidentes resolvidos frente ao total notificado já está em patamar superior ao apresentado em estatísticas anteriores. foi atualizada a lista de contatos com todos os estados da federação e órgãos da Administração Pública Direta. Os incidentes do mês de junho que ainda encontram-se pendentes estão dentro de prazos estabelecidos como tolerância para a solução do problema. Autárquica e Fundacional. Este incremento é fruto da necessidade de fornecer maior grau de especialização na análise dos dados sobre incidentes de que dispõe o CTIR Gov. Página 3/6 . O Gráfico 2 apresenta o percentual de notificações nas principais categorias de incidentes estabelecidas pelo Centro. as pendências encontram-se praticamente zeradas no período de fevereiro a maio. Essa informação demonstra que as iniciativas de melhoria empreendidas pelo CTIR Gov no período foram efetivas. 2.Distribuição de notificações por categoria definida O CTIR Gov organiza os incidentes de mesma natureza em agrupamentos denominados “filas”. Como o ajuste foi realizado de forma retroativa. percebe-se um aumento no número de filas.terceiros.

Por possuir caráter experimental. O gráfico 3 abaixo apresenta a distribuição das subcategorias definidas.84%) em relação ao total. Os resultados obtidos preliminarmente esclarecem que o tempo médio transcorrido entre as notificações do CTIR Gov e a resolução dos incidentes pelos responsáveis é de 8 dias e 17 Página 4/6 . até o momento.Percebe-se que a fila “Site_Abuse” possui proporção elevada (30. o trabalho foi realizado apenas nas filas “Site_Abuse” e “Malware_Hosting”. Uma das possíveis justificativas para esta elevada proporção é o fato de esta categoria abranger diversos “subtipos” que estão agrupados em uma mesma fila por possuírem características muito semelhantes. Além de ocorrerem com grande frequência.3 – Tempo de resolução A partir de 19 de abril foi iniciada a contagem de tempo trabalhado por incidente. principalmente.Distribuição subtipos de Abuso de Sítios É importante destacar que a categoria Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos em sítios) foi criada em 29 de maio de 2012 e que o número de notificações envolvendo incidentes desta natureza tem crescido muito rapidamente. 2. são incidentes cujo tempo de resolução está muito aquém do desejável. ou seja. a medição do espaço de tempo compreendido entre a detecção e a resolução de incidentes. aplicações web mal codificadas. pelo CTIR Gov: Gráfico 3 . Estes ataques são realizados por meio da exploração de vulnerabilidades em servidores web mal configurados e.

É possível.horas para casos envolvendo abusos de sítios e de 6 dias e 3 horas para incidentes relacionados à hospedagem de executáveis maliciosos. possibilitando a adoção de medidas pontuais quando julgado pertinente. o objetivo desta medição é fornecer à CGTIR subsídios para o processo de tomada de decisões com o objetivo de reduzir o tempo de resolução ao menor patamar possível.Distribuição por faixa de tempo de resolução – Hospedagem de Malware Página 5/6 . por exemplo.Distribuição por faixa de tempo de resolução – Abuso de Sítio Gráfico 5 . A distribuição por faixa de tempo de resolução nas duas filas citadas pode ser observada nos gráficos 4 e 5: Gráfico 4 . visualizar qual o tempo médio para a resolução de incidentes por órgão da APF ou estado da federação. Em última análise.

Brasília. Equipe CTIR Gov Página 6/6 . A troca de informações entre as equipes de tratamento de incidentes de rede (ETIR) com o Centro é de vital importância para a manutenção e melhoria da segurança da informação no âmbito governamental. 6 de julho de 2012. Conclusões de maior profundidade técnica e com maior detalhamento poderão ser apresentadas em eventos com participação exclusiva das ETIR da APF. apenas informações com classificação ostensiva estão apresentadas neste documento.3. CONCLUSÕES As informações apresentadas no presente documento são fruto da colaboração de diversos órgãos da APF com o CTIR Gov. Por força da natureza sensível dos dados referentes aos incidentes de rede notificados ao CTIR Gov.

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.