Escolar Documentos
Profissional Documentos
Cultura Documentos
Comum da Rede
Nacional de CSIRT
Taxonomia Comum da Rede Nacional de
CSIRT
Versão:
3.0
Autor:
Revisão:
Janeiro de 2020
Classificação Data Versão do documento
TLP:AMBER Janeiro 2020 3.0
Título
Taxonomia Comum da Rede Nacional de CSIRT
Origem
Rede Nacional de CSIRT – Grupo de Trabalho Taxonomia
Histórico de Versões
Versão Data Revisor Comentários/Notas
2.5 Dezembro 2012
Grupo de Traba- Revisão e Atualização da Taxo-
3.0 Dezembro 2019
lho - Taxonomia nomia
WWW.REDECSIRT.PT
ÍNDICE
INTRODUÇÃO........................................................................................... 4
CLASSIFICAÇÃO DE INCIDENTES...........................................................5
LISTA DE TERMOS.................................................................................23
AGRADECIMENTOS............................................................................... 24
WWW.REDECSIRT.PT
1 INTRODUÇÃO
1 https://github.com/enisaeu/Reference-Security-Incident-Taxonomy-Task-Force
2 https://www.enisa.europa.eu/topics/csirt-cert-services/community-projects/reference-security-incident-taxonomy-
working-group-2013-rsit-wg
WWW.REDECSIRT.PT
2 CLASSIFICAÇÃO DE INCIDENTES
WWW.REDECSIRT.PT
Envio massivo de pedidos (pacotes de rede,
emails, etc.), a partir de uma única fonte, a
Flood de pedidos
um determinado serviço com o objectivo de
afectar o seu funcionamento.
WWW.REDECSIRT.PT
Wiretapping Intercepção lógica ou física de comunicações.
WWW.REDECSIRT.PT
Inclusão de ficheiros no sistema alvo através
File inclusion
de técnicas de file inclusion.
WWW.REDECSIRT.PT
Distribuição ou partilha de conteúdos ilegais
Disseminação de conteúdos
como pornografia de menores, glorificação da
proibidos por lei (crimes
violência, e outros conteúdos proibidos por
públicos).
lei.
Numa fase posterior o incidente deve ser classificado por tipo, segundo a
tabela. 2, abaixo.
WWW.REDECSIRT.PT
3 TAXONOMIA DE REFERÊNCIA PARA INCIDENTES DE
SEGURANÇA [V3.0]
Exploração
sexual de
menores, Exploração Sexual de Menores, conteúdo
racismo e sexual, glorificação da violência, e outros
apologia da conteúdos proibidos por lei.
violência Child Sexual Exploitation (CSE), Sexual content,
glorification of violence, etc.
(Child) Sexual
Exploitation/Sexual
/Violent Content
WWW.REDECSIRT.PT
Sistema infectado com malware, p. ex. PC,
smartphone ou servidor infectados com um
Sistema rootkit. Na maioria das vezes, refere-se a
Infectado ligações a um servidor C2 “sinkholed”.
Infected System System infected with malware, e.g. PC, smartphone or
server infected with a rootkit. Most often this refers to a
connection to a sinkholed C2 server
WWW.REDECSIRT.PT
Recolha de informações de um ser humano
Engenharia através de meios não técnicos (por exemplo,
Social mentiras, truques, subornos ou ameaças).
Social Engineering Gathering information from a human being in a non-
technical way (e.g. lies, tricks, bribes, or threats).
Nova
assinatura de Ataque que usa a exploração de uma
ataque vulnerabilidade desconhecida.
New attack An attack using an unknown exploit.
signature
WWW.REDECSIRT.PT
Compromisso de uma aplicação/software
Compromisso
através de vulnerabilidades (des)conhecidas,
de Aplicação
p. ex. SQL injection.
Application
Compromise Compromise of an application by exploiting (un-)known
software vulnerabilities, e.g. SQL injection.
Disponibilida
Configuração incorrecta de software que
de
resulta em problemas de disponibilidade de
Availability Configuração serviço, p. ex. um servidor DNS com a
incorreta DNSSEC KSK da zona raiz, desactualizada.
Misconfiguration Software misconfiguration resulting in service availability
issues, e.g. DNS server with outdated DNSSEC Root Zone
KSK.
WWW.REDECSIRT.PT
Acesso não autorizado à informação, p. ex. o
abuso de credenciais roubadas para acesso a
Acesso não
um sistema ou aplicação, intercepção de
autorizado
tráfego ou obtenção de acesso a documentos
Unauthorised físicos.
access to
information Unauthorised access to information, e.g. by abusing stolen
login credentials for a system or application, intercepting
traffic or gaining access to physical documents.
Segurança
Modificação não autorizada de informação, p.
da
ex. um atacante usar credenciais roubadas
Informação Modificação
para acesso a um sistema ou aplicação, ou a
não autorizada
Information encriptação de dados resultante de
Content Security Unauthorised ransomware.
modification of
information Unauthorised modification of information, e.g. by an
attacker abusing stolen login credentials for a system or
application or a ransomware encrypting data.
WWW.REDECSIRT.PT
Utilização Tipo de ataque no qual uma entidade usa
ilegítima de ilegalmente a identidade de outra para seu
nome de benefício.
terceiros Type of attack in which one entity illegitimately
impersonates the identity of another in order to benefit from
Masquerade it.
Serviços
acessíveis Serviços publicamente acessíveis
potencialment eventualmente indesejados, p. ex. Telnet,
e indesejados RDP ou VNC.
Potentially Potentially unwanted publicly accessible services, e.g.
unwanted Telnet, RDP or VNC.
accessible services
WWW.REDECSIRT.PT
Um sistema vulnerável a certos ataques, p.
ex.: má configuração de definições de cliente
Sistema proxy (ex.: WPAD), sistemas operativos
vulnerável desactualizados, etc.
Vulnerable system A system which is vulnerable to certain attacks. Example:
misconfigured client proxy settings (example: WPAD),
outdated operating system version, etc.
A classificação do incidente é
Indeterminado desconhecida/indeterminada.
Undetermined The categorisation of the incident is
unknown/undetermined.
WWW.REDECSIRT.PT
4 CORRELAÇÃO ENTRE EVENTOS E INCIDENTES
Tipo Classe de
Tipo de Evento
Incidente Incidente
Flood de emails
SPAM
Envio de mensagem não solicitada
Wiretapping Sniffing
WWW.REDECSIRT.PT
Informação obtida através de meios não
Engenharia
técnicos passível de ser usada em ataques
Social
futuros
Compromisso
Furto de credenciais de acesso privilegiado de Conta
Privilegiada
Compromisso
Intrusão
Furto de credenciais de acesso de Conta Não
Privilegiada
Arrombament
Entrada não autorizada em instalações físicas
o
Vandalismo
Sabotagem
Disrupção intencional de mecanismos de
transmissão e tratamento de dados.
WWW.REDECSIRT.PT
Acesso indevido e sistema
Acesso não
Acesso indevido à informação
autorizado
Exfiltração de dados
Segurança da
Modificação Informação
Modificação de informação não
autorizada
Perda de
Eliminação de informação
dados
Utilização
indevida ou
Utilização indevida ou não autorizada de
não
recursos
autorizada de
recursos
Utilização
Fraude
Utilização ilegítima de nome da instituição ou ilegítima de
de terceiros nome de
terceiros
Amplificador
Servidor NTP configurado com monlist
DDoS
Serviços
acessíveis
RDP exposto
potencialment
e indesejados
WWW.REDECSIRT.PT
Sistema sem actualizações/correcções de Sistema
segurança. vulnerável
WWW.REDECSIRT.PT
5 LISTA DE ABREVIATURAS, SIGLAS E ACRÓNIMOS
WWW.REDECSIRT.PT
6 LISTA DE TERMOS
WWW.REDECSIRT.PT
7 AGRADECIMENTOS
• Coordenação
◦ CSIRT.UMINHO
• Membros
◦ CERT.PT
◦ CSIRT.UA
◦ CSIRT.UPORTO
◦ CSIRT.UTAD
◦ CSIRT-EY
◦ DGS-IRT
◦ EDP CSIRT
◦ Euronext CSIRT
◦ LAYER8 CSIRT
◦ RCTS CERT
• Observadores
◦ PJ UNC3T
WWW.REDECSIRT.PT