Presidência da República

Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da APF

ESTATÍSTICAS DE INCIDENTES DE REDE NA APF – 1° SEMESTRE/2012

1. APRESENTAÇÃO
As informações estatísticas publicadas no presente documento cumprem o princípio
básico de publicidade contido na Lei de Acesso e referem-se ao primeiro semestre do ano de
2012 (01/01/2012 a 30/06/2012). Tem por objetivo apresentar detalhes sobre o trabalho de
detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de
Incidentes de Segurança de Redes de Computadores da Administração Pública Federal – CTIR
Gov.
A atividade de tratamento de incidentes de rede executada pelo CTIR Gov é desenvolvida
dentro de uma filosofia de melhoria contínua, fato que conduz a frequentes adaptações na
metodologia e nos processos adotados pelo Centro. Esses ajustes alteram, ainda, a maneira de
organizar os dados estatísticos referentes aos incidentes de rede da APF.
Fruto da busca pela qualidade, o CTIR Gov aperfeiçoa periodicamente as ferramentas e
técnicas empregadas nas diversas fases que compõem sua atividade-fim, estabelecendo critérios
para a classificação e o tratamento adequados às novas demandas constantemente criadas pelo
dinamismo da área de segurança.
Além de preparar a forma de trabalho para o futuro, o CTIR Gov também realiza ajustes
retroativos que objetivam diminuir eventuais distorções e reorganizar dados relacionados aos
incidentes já notificados, a fim de conferir uniformidade às estatísticas extraídas. Este trabalho
pode ser constatado na comparação dos gráficos expostos nesta publicação com os apresentados
na anterior, referente ao período de Abril de 2011 a Março de 2012.
Eventuais dúvidas ou sugestões sobre os dados e considerações apresentadas a seguir
podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede – CGTIR,
por meio do e-mail cgtir@planalto.gov.br.

Página 1/6

(c) Pendente: aguarda ação de terceiro para resolução e (d) Rejeitado: detecção de falso positivo ou notificação de não-incidente. (b) Resolvido: incidente finalizado.br. ou seja.2. Essas ações objetivaram reduzir o número de “falso-positivos” notificados e resultou em queda significativa na quantidade média de notificações rejeitadas. o CTIR Gov define (a) Notificado: evento reportado ao Centro por meio do endereço ctir@ctir. de incidentes que dependem da ação de Página 2/6 .Distribuição de notificações por Status e mês de criação O agrupamento das notificações por mês de criação e status exibido no Gráfico 1 permite a observação de alguns aspectos relevantes:  Redução no número de notificações rejeitadas: Os mecanismos automatizados de detecção e notificação desenvolvidos pelo CTIR Gov foram revistos e aperfeiçoados durante o mês de janeiro e as novas versões foram colocadas em produção a partir do dia 02 de fevereiro. houve sensível melhoria nas notificações enviadas pelas ETIR da APF após a publicação das “Padronizações para notificações de incidentes de segurança”. Paralelamente a essa iniciativa. GRÁFICOS 2. tratamento realizado com sucesso. Gráfico 1 .  Redução do número de incidentes pendentes: No início do mês de abril. no sítio do CTIR Gov. ou seja.1 – Distribuição de notificações de incidentes por Status e mês de criação Para padronização.gov. a equipe CTIR Gov terminou o desenvolvimento de módulos dedicados ao controle mais eficiente dos tíquetes “Pendentes”.

Os incidentes do mês de junho que ainda encontram-se pendentes estão dentro de prazos estabelecidos como tolerância para a solução do problema.Distribuição de notificações por categoria definida O CTIR Gov organiza os incidentes de mesma natureza em agrupamentos denominados “filas”. as pendências encontram-se praticamente zeradas no período de fevereiro a maio. foi atualizada a lista de contatos com todos os estados da federação e órgãos da Administração Pública Direta.2 – Distribuição de incidentes por classificação Gráfico 2 .  Aumento da proporção de incidentes resolvidos: Fruto das ações descritas nos itens acima. Autárquica e Fundacional. percebe-se um aumento no número de filas. O Gráfico 2 apresenta o percentual de notificações nas principais categorias de incidentes estabelecidas pelo Centro. Página 3/6 . Indireta. Em comparação com a última publicação de estatísticas do CTIR Gov. 2. a proporção de incidentes resolvidos frente ao total notificado já está em patamar superior ao apresentado em estatísticas anteriores. Como o ajuste foi realizado de forma retroativa. Este incremento é fruto da necessidade de fornecer maior grau de especialização na análise dos dados sobre incidentes de que dispõe o CTIR Gov. Essa informação demonstra que as iniciativas de melhoria empreendidas pelo CTIR Gov no período foram efetivas.terceiros. Além de implantar esse módulo.

3 – Tempo de resolução A partir de 19 de abril foi iniciada a contagem de tempo trabalhado por incidente. o trabalho foi realizado apenas nas filas “Site_Abuse” e “Malware_Hosting”.84%) em relação ao total. Estes ataques são realizados por meio da exploração de vulnerabilidades em servidores web mal configurados e. aplicações web mal codificadas.Percebe-se que a fila “Site_Abuse” possui proporção elevada (30. ou seja. Por possuir caráter experimental. principalmente. Os resultados obtidos preliminarmente esclarecem que o tempo médio transcorrido entre as notificações do CTIR Gov e a resolução dos incidentes pelos responsáveis é de 8 dias e 17 Página 4/6 . 2. Além de ocorrerem com grande frequência. pelo CTIR Gov: Gráfico 3 . até o momento. O gráfico 3 abaixo apresenta a distribuição das subcategorias definidas. Uma das possíveis justificativas para esta elevada proporção é o fato de esta categoria abranger diversos “subtipos” que estão agrupados em uma mesma fila por possuírem características muito semelhantes.Distribuição subtipos de Abuso de Sítios É importante destacar que a categoria Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos em sítios) foi criada em 29 de maio de 2012 e que o número de notificações envolvendo incidentes desta natureza tem crescido muito rapidamente. a medição do espaço de tempo compreendido entre a detecção e a resolução de incidentes. são incidentes cujo tempo de resolução está muito aquém do desejável.

É possível. visualizar qual o tempo médio para a resolução de incidentes por órgão da APF ou estado da federação. possibilitando a adoção de medidas pontuais quando julgado pertinente.horas para casos envolvendo abusos de sítios e de 6 dias e 3 horas para incidentes relacionados à hospedagem de executáveis maliciosos.Distribuição por faixa de tempo de resolução – Hospedagem de Malware Página 5/6 . por exemplo. Em última análise.Distribuição por faixa de tempo de resolução – Abuso de Sítio Gráfico 5 . A distribuição por faixa de tempo de resolução nas duas filas citadas pode ser observada nos gráficos 4 e 5: Gráfico 4 . o objetivo desta medição é fornecer à CGTIR subsídios para o processo de tomada de decisões com o objetivo de reduzir o tempo de resolução ao menor patamar possível.

3. CONCLUSÕES As informações apresentadas no presente documento são fruto da colaboração de diversos órgãos da APF com o CTIR Gov. Conclusões de maior profundidade técnica e com maior detalhamento poderão ser apresentadas em eventos com participação exclusiva das ETIR da APF. Brasília. apenas informações com classificação ostensiva estão apresentadas neste documento. Por força da natureza sensível dos dados referentes aos incidentes de rede notificados ao CTIR Gov. Equipe CTIR Gov Página 6/6 . 6 de julho de 2012. A troca de informações entre as equipes de tratamento de incidentes de rede (ETIR) com o Centro é de vital importância para a manutenção e melhoria da segurança da informação no âmbito governamental.

Sign up to vote on this title
UsefulNot useful