Presidência da República

Gabinete de Segurança Institucional
Departamento de Segurança da Informação e Comunicações
Centro de Tratamento de Incidentes de Segurança de Redes de Computadores da APF

ESTATÍSTICAS DE INCIDENTES DE REDE NA APF – 1° SEMESTRE/2012

1. APRESENTAÇÃO
As informações estatísticas publicadas no presente documento cumprem o princípio
básico de publicidade contido na Lei de Acesso e referem-se ao primeiro semestre do ano de
2012 (01/01/2012 a 30/06/2012). Tem por objetivo apresentar detalhes sobre o trabalho de
detecção, análise e resposta a incidentes de rede desenvolvido pelo Centro de Tratamento de
Incidentes de Segurança de Redes de Computadores da Administração Pública Federal – CTIR
Gov.
A atividade de tratamento de incidentes de rede executada pelo CTIR Gov é desenvolvida
dentro de uma filosofia de melhoria contínua, fato que conduz a frequentes adaptações na
metodologia e nos processos adotados pelo Centro. Esses ajustes alteram, ainda, a maneira de
organizar os dados estatísticos referentes aos incidentes de rede da APF.
Fruto da busca pela qualidade, o CTIR Gov aperfeiçoa periodicamente as ferramentas e
técnicas empregadas nas diversas fases que compõem sua atividade-fim, estabelecendo critérios
para a classificação e o tratamento adequados às novas demandas constantemente criadas pelo
dinamismo da área de segurança.
Além de preparar a forma de trabalho para o futuro, o CTIR Gov também realiza ajustes
retroativos que objetivam diminuir eventuais distorções e reorganizar dados relacionados aos
incidentes já notificados, a fim de conferir uniformidade às estatísticas extraídas. Este trabalho
pode ser constatado na comparação dos gráficos expostos nesta publicação com os apresentados
na anterior, referente ao período de Abril de 2011 a Março de 2012.
Eventuais dúvidas ou sugestões sobre os dados e considerações apresentadas a seguir
podem ser encaminhadas à Coordenação-Geral de Tratamento de Incidentes de Rede – CGTIR,
por meio do e-mail cgtir@planalto.gov.br.

Página 1/6

a equipe CTIR Gov terminou o desenvolvimento de módulos dedicados ao controle mais eficiente dos tíquetes “Pendentes”. no sítio do CTIR Gov. Gráfico 1 . tratamento realizado com sucesso. GRÁFICOS 2.gov.2. Paralelamente a essa iniciativa.br. (c) Pendente: aguarda ação de terceiro para resolução e (d) Rejeitado: detecção de falso positivo ou notificação de não-incidente. ou seja.  Redução do número de incidentes pendentes: No início do mês de abril.Distribuição de notificações por Status e mês de criação O agrupamento das notificações por mês de criação e status exibido no Gráfico 1 permite a observação de alguns aspectos relevantes:  Redução no número de notificações rejeitadas: Os mecanismos automatizados de detecção e notificação desenvolvidos pelo CTIR Gov foram revistos e aperfeiçoados durante o mês de janeiro e as novas versões foram colocadas em produção a partir do dia 02 de fevereiro. ou seja. o CTIR Gov define (a) Notificado: evento reportado ao Centro por meio do endereço ctir@ctir. (b) Resolvido: incidente finalizado. houve sensível melhoria nas notificações enviadas pelas ETIR da APF após a publicação das “Padronizações para notificações de incidentes de segurança”.1 – Distribuição de notificações de incidentes por Status e mês de criação Para padronização. de incidentes que dependem da ação de Página 2/6 . Essas ações objetivaram reduzir o número de “falso-positivos” notificados e resultou em queda significativa na quantidade média de notificações rejeitadas.

foi atualizada a lista de contatos com todos os estados da federação e órgãos da Administração Pública Direta.terceiros. Página 3/6 .Distribuição de notificações por categoria definida O CTIR Gov organiza os incidentes de mesma natureza em agrupamentos denominados “filas”. Além de implantar esse módulo. as pendências encontram-se praticamente zeradas no período de fevereiro a maio. Este incremento é fruto da necessidade de fornecer maior grau de especialização na análise dos dados sobre incidentes de que dispõe o CTIR Gov. Indireta. Os incidentes do mês de junho que ainda encontram-se pendentes estão dentro de prazos estabelecidos como tolerância para a solução do problema.  Aumento da proporção de incidentes resolvidos: Fruto das ações descritas nos itens acima. Como o ajuste foi realizado de forma retroativa. Em comparação com a última publicação de estatísticas do CTIR Gov. 2. Essa informação demonstra que as iniciativas de melhoria empreendidas pelo CTIR Gov no período foram efetivas.2 – Distribuição de incidentes por classificação Gráfico 2 . O Gráfico 2 apresenta o percentual de notificações nas principais categorias de incidentes estabelecidas pelo Centro. a proporção de incidentes resolvidos frente ao total notificado já está em patamar superior ao apresentado em estatísticas anteriores. Autárquica e Fundacional. percebe-se um aumento no número de filas.

aplicações web mal codificadas.84%) em relação ao total. a medição do espaço de tempo compreendido entre a detecção e a resolução de incidentes. principalmente. Além de ocorrerem com grande frequência. 2. Por possuir caráter experimental. o trabalho foi realizado apenas nas filas “Site_Abuse” e “Malware_Hosting”. Estes ataques são realizados por meio da exploração de vulnerabilidades em servidores web mal configurados e. Os resultados obtidos preliminarmente esclarecem que o tempo médio transcorrido entre as notificações do CTIR Gov e a resolução dos incidentes pelos responsáveis é de 8 dias e 17 Página 4/6 . ou seja. até o momento.3 – Tempo de resolução A partir de 19 de abril foi iniciada a contagem de tempo trabalhado por incidente. são incidentes cujo tempo de resolução está muito aquém do desejável.Distribuição subtipos de Abuso de Sítios É importante destacar que a categoria Spamdexing (injeção deliberada e maliciosa de spam de links e de conteúdos comerciais não legítimos em sítios) foi criada em 29 de maio de 2012 e que o número de notificações envolvendo incidentes desta natureza tem crescido muito rapidamente. pelo CTIR Gov: Gráfico 3 . O gráfico 3 abaixo apresenta a distribuição das subcategorias definidas.Percebe-se que a fila “Site_Abuse” possui proporção elevada (30. Uma das possíveis justificativas para esta elevada proporção é o fato de esta categoria abranger diversos “subtipos” que estão agrupados em uma mesma fila por possuírem características muito semelhantes.

por exemplo. possibilitando a adoção de medidas pontuais quando julgado pertinente. o objetivo desta medição é fornecer à CGTIR subsídios para o processo de tomada de decisões com o objetivo de reduzir o tempo de resolução ao menor patamar possível.Distribuição por faixa de tempo de resolução – Abuso de Sítio Gráfico 5 .horas para casos envolvendo abusos de sítios e de 6 dias e 3 horas para incidentes relacionados à hospedagem de executáveis maliciosos. visualizar qual o tempo médio para a resolução de incidentes por órgão da APF ou estado da federação. É possível. A distribuição por faixa de tempo de resolução nas duas filas citadas pode ser observada nos gráficos 4 e 5: Gráfico 4 . Em última análise.Distribuição por faixa de tempo de resolução – Hospedagem de Malware Página 5/6 .

Brasília. CONCLUSÕES As informações apresentadas no presente documento são fruto da colaboração de diversos órgãos da APF com o CTIR Gov. A troca de informações entre as equipes de tratamento de incidentes de rede (ETIR) com o Centro é de vital importância para a manutenção e melhoria da segurança da informação no âmbito governamental. 6 de julho de 2012. Por força da natureza sensível dos dados referentes aos incidentes de rede notificados ao CTIR Gov. apenas informações com classificação ostensiva estão apresentadas neste documento. Equipe CTIR Gov Página 6/6 . Conclusões de maior profundidade técnica e com maior detalhamento poderão ser apresentadas em eventos com participação exclusiva das ETIR da APF.3.

Sign up to vote on this title
UsefulNot useful

Master Your Semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master Your Semester with a Special Offer from Scribd & The New York Times

Cancel anytime.