Home >Documents >Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013

Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013

Date post:26-Nov-2015
Category:
View:635 times
Download:6 times
Share this document with a friend
Description:
Raport Cu Privire La Alertele de Securitate Cibernetica Primite de CERTRO 2013
Transcript:
  • http://www.cert-ro.eu

    CENTRUL NAIONAL DE RSPUNS LA INCIDENTE DE SECURITATE CIBERNETIC CERT-RO

    RAPORT cu privire la alertele de securitate cibernetic

    primite de CERT-RO n cursul anului 2013

  • 2 / 30

    Pagin alb

  • 3 / 30

    CUPRINS

    1. Rezumatul raportului ................................................................................................................................. 5

    2. Despre CERT-RO? ....................................................................................................................................... 7

    3. Obiectivul prezentului raport ..................................................................................................................... 8

    4. Sursele de date ale CERT-RO ...................................................................................................................... 9

    5. Sistemul de Alert Timpurie (SAT) al CERT-RO ......................................................................................... 10

    6. Statistic pe baza alertelor primite .......................................................................................................... 10

    6.1. Alerte colectate i transmise prin intermediul unor sisteme automate .......................................... 10

    6.1.1. Distribuia alertelor pe tipuri i clase de incidente ...................................................................... 10

    6.1.2. Distribuia alertelor pe luni calendaristice ................................................................................... 12

    6.1.3. Distribuia alertelor pe Autonomous System Number (ASN) ...................................................... 12

    6.1.4. Tipuri de malware caracteristice spaiului cibernetic romnesc ................................................. 15

    6.1.5. Tipuri de sisteme afectate de alerte............................................................................................. 17

    6.2. Alerte individuale ............................................................................................................................. 17

    6.3. Statistic domenii .ro compromise ............................................................................................... 19

    6.4. Ameninri de tip Advanced Persistent Threath (APT) .................................................................... 21

    7. Concluzii i comentarii .............................................................................................................................. 21

    Anexa 1 Recomandri pentru utilizatorii casnici ........................................................................................... 23

    Anexa 2 Recomandri pentru administratorii de sistem din cadrul organizaiilor ....................................... 24

    Anexa 3 Clasificarea tipurilor de alerte tratate de CERT-RO ......................................................................... 25

    Anexa 4 Descriere TOP 25 tipuri de malware caracteristice spaiului cibernetic naional ........................... 28

  • 4 / 30

    Pagin alb

  • 5 / 30

    1. Rezumatul raportului Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO se afl n coordonarea Ministerului pentru Societatea Informaional i este finanat integral de la bugetul de stat. n calitate de punct naional de contact cu privire la incidente de securitate cibernetic, n perioada 01.01 31.12.2013, CERT-RO a fost sesizat de ctre diveri parteneri interni sau internaionali, cu referire la incidente de securitate cibernetic, prin:

    1. Alerte colectate i transmise prin intermediul unor sisteme automate: 43.231.149 o numr total de IP unice compromise, extrase din totalul alertelor: 2.213.426

    2. Alertele colectate manual prin notificri individuale precum i cele constituite pe baza informaiilor colectate de CERT-RO: 450.

    Obiectivul prezentului raport este analiza incidentelor de securitate cibernetic colectate/gestionate la nivelul CERT-RO n anul 2013 n vederea obinerii unei viziuni de ansamblu asupra naturii i dinamicii acestor tipuri de evenimente relevante pentru evaluarea riscurilor de securitate cibernetic la adresa infrastructurilor IT i de comunicaii electronice de pe teritoriul Romniei, aflate n aria de competen a CERT-RO. Pe baza datelor colectate au fost constatate urmtoarele:

    peste 16% din totalul numrului de IP-uri alocat Romniei (aprox. 13,5 mil), a fost implicat n cel puin o alert de securitate cibernetic raportat la CERT-RO n anul 2013;

    aproximativ 78% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor vulnerabiliti tehnice, au vizat infectarea sistemelor cu diverse tipuri de aplicaii malware, n scopul constituirii unor reele de tip botnet (zombie); Numrul total de IP-uri unice identificate, n baza acestor alerte, este de 1.945.597, respectiv 14% din plaja total de IP-uri alocate Romniei.

    peste 16% din alerte vizeaz sisteme informatice din Romnia, victime ale unor atacatori care, de regul prin exploatarea unor configurri defectuoase sau vulnerabiliti ale serverelor DNS, au vizat folosirea sistemelor informatice vulnerabile pentru lansarea unor atacuri asupra altor inte din Internet (DNS amplification attacks, DNS cache poisoning etc.);

    peste 5% din alerte vizeaz entiti din Romnia ce trimit mesaje email nesolicitate de tip spam, ctre diverse inte din reeaua Internet;

    40% din totalul alertelor vizeaz sisteme informatice din Romnia infectate cu viermele Conficker, pentru care exist deja patch-uri de securitate sau mecanisme de dezinfecie; conform datelor deinute aprox. 12,5% din IP-urile unice din RO, au fost raportate n 2013 ca fiind infectate cu Conficker. Troianul, identificat n anul 2008, vizeaz sisteme informatice ce ruleaz sisteme de operare din familia Microsoft Windows, ce nu au instalate ultimele patch-uri de securitate;

    peste 50% din totalul IP-urilor unice raportate ruleaz sisteme de operare din familia Microsoft Windows, versiunile 98, 2000, XP sau 2003;

    peste 39% din totalul alertelor individuale (5.2) vizeaz entiti din Romnia ce gzduiesc pagini web de tip phishing, ce afecteaz activitatea unor instituii financiare din Romnia sau strintate;

  • 6 / 30

    10.239 domenii .ro au fost compromise n 2013, reprezentnd aprox. 1,4% din totalul domeniilor .ro; 60% dintre acestea sunt domenii infectate cu diverse variante de malware, ce pot infecta ali vizitatori;

    61 de IP-uri au fost semnalate ca fiind infectate cu diverse variante de malware de tip APT. Urmare constatrilor de mai sus , pot fi formulate urmtoarele concluzii:

    ameninrile, de natur informatic, asupra spaiului cibernetic naional s-au diversificat, fiind relevate tendine evolutive, att din perspectiv cantitativ, ct i din punct de vedere al complexitii tehnice;

    majoritatea sistemelor informatice compromise din Romnia, fac parte din reele de tip botnet, fiind folosite cu rol de proxy pentru desfurarea altor atacuri asupra unor inte din afara rii, reprezentnd astfel potentiale ameninri la adresa altor sisteme conectate la Internet;

    pe baza analizei tipurilor de malware specifice spaiului cibernetic naional precum i a tipurilor de sisteme compromise, reiese faptul c, din punct de vedere cantitativ, majoritatea atacurilor sunt ndreptate ctre sisteme nvechite, depite moral, fr posibiliti native de securizare (ex: sisteme afectate de Conficker) sau care nu sunt actualizate cu ultimele patch-uri/update-uri de securitate;

    entiti din Romnia devin din ce n ce mai frecvent inta ameninrilor de tip APT, respectiv atacuri cibernetice cu un grad ridicat de complexitate, lansate de ctre grupuri ce au capacitatea i motivaia necesar pentru a ataca n mod persistent o int n scopul obinerii anumitor beneficii (de obicei acces la informaii sensibile); avnd n vedere functiile complexe ale unor astfel de aplicaii malware, prezente ntr-un numr mai redus n perioada analizata (capabiliti de interceptare a comunicatiilor electronice, accesarea neautorizata a datelor aferente tranzactiilor financiare si mijloacelor de plata electronice, spionaj cibernetic etc. Ex: Red October, Miniduke), precum i faptul ca aceste tipuri de ameninri prezint un caracter evolutiv moderat, se poate estima o crestere a numrului i severitii unor astfel de atacuri la nivel national pe parcursul anului 2014;

    Romnia nu mai poate fi considerat doar o ar generatoare de incidente de securitate cibernetic, analiza datelor prezentate demonstrnd caracterul intermediar/de tranzit al unor resurse informatice semnificative conectate la reeaua Internet n Romnia.

    Recomandri:

    O serie de recomandri, att pentru administratorii de sistem din cadrul organizaiilor ct i pentru utilizatorii casnici, se regsesc n anexele 1 i 2.

  • 7 / 30

    2. Despre CERT-RO? Centrul Naional de Rspuns la Incidente de Securitate Cibernetic CERT-RO este o structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice, care dispune de capacitatea necesar pentru prevenirea, analiza, identificarea i reacia la incidentele de securitate cibernetic ale sistemelor informatice ce asigur funcionaliti de utilitate public ori asigur servicii ale societii informaionale. CERT-RO este o instituie public aflat n coordonarea Ministerului pentru Societate

Click here to load reader

Reader Image
Embed Size (px)
Recommended