LITNET CERT tarnyba IT saugos incidentus klasifikuoja remdamasi Europos tinklų ir informacijos saugumo agentūros (ENISA) darbo grupės RSIT-WG sudaryta incidentų taksonomija (klasifikatoriumi). Daugiau informacijos galite rasti ENISA svetainėje https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy ir RSIT-WG darbo grupės puslapyje : https://github.com/enisaeu/Reference-Security-Incident-Taxonomy-Task-Force/
Klasifikacija | Incidentų tipai | Aprašymas |
---|---|---|
Žeidžiantis turinys (angl. Abusive Content) | Brukalas (angl. Spam) | Nepageidaujamas masinis el. pašto laiškų siuntimas, neturint gavėjo sutikimo. |
Žalinga kalba (angl. Harmful Speech) | Diskreditavimas ar diskriminacija, rasizmas nukreiptas prieš vieną ar daugiau asmenų. | |
Vaikų pornografija/ lytinis/ smurtinis turinys (angl. Child porn/ Sexual/ Violant Content) | Vaikų pornografija, vaikų išnaudojimas, lytinis, smurtinis turinys | |
Kenkėjiškas kodas (angl. Malicious Code) | Užkrėstos sistemos (angl. Infected System) | Sistema užkrėsta kenkėjiška programa, pvz. PK, tarnybinė stotis, išmanusis telefonas, užkrėstas virusu, kuris įrenginį užkrečia kitomis kenkėjiškomis programomis. |
C2 serveriai (angl. C2 server) | Botnet komandų ir valdymo įrenginys, valdantis kenkėjiška programa užkrėstų sistemų tinklą. | |
Kenkėjiškų programų platinimas (angl. Malware Distribution) | Žalingo/kenkėjiško kodo platinimas (per svetainę, el. paštu). Pvz., puslapio adresas naudojamas kenkėjiškų programų platinimui. | |
Kenkėjiškų programų konfigūravimas (angl. Malware Configuration) | URI (angl. Uniform Resource Identifier), kuriame yra kenkėjiškų programų konfigūracijos failas. | |
Informacijos rinkimas (angl. Information Gathering) | Skenavimas (angl. Scanning) | Atakos, siunčiančios užklausas sistemos trūkumams aptikti. Tai taip pat apima bandymų procesus, skirtus informacijos apie šeimininkus, paslaugas ir paskyras rinkimui (pvz., fingerd, DNS užklausa, ICMP, SMTP (EXPN, RCPT, …), prievado nuskaitymas). |
Šnipinėjimas (angl. Sniffing) | Tinklo srauto stebėjimas ir įrašinėjimas | |
Socialinė inžinerija (angl. Social Engineering) | Informacijos rinkimas iš žmogaus ne techniniu būdu (pvz., Melas, gudrybės, kyšiai ar grėsmės). | |
Bandymai įsibrauti (angl. Intrusion Attempts) | Žinomų pažeidžiamumų išnaudojimas (angl. Exploitation of known Vulnerabilities) | Bandymas gauti prieigą prie informacinės sistemos arba trikdyti bet kokią paslaugą, išnaudojant pažeidžiamumą su standartizuotu identifikatoriumi, pvz., CVE pavadinimu (pvz., Buferio perpildymu, „backdoor“, „cross-site-scripting“ ir t.t.) |
Bandymai prisijungti (angl. Login Attempts) | Bandymai prisijungimo prie sistemos (slaptažodžių parinkimas/krekingas, brutali jėga). | |
Naujos atakos parašas (angl. New attack signature) | Ataka, naudojanti nežinomą pažeidžiamumą. | |
Įsibrovimai (angl. Intrusions) | Privilegijuotos paskyros išnaudojimas (angl. Privileged Account Compromise) | Sistemos, kurioje užpuolikas įgijo administracines teises, išnaudojimas. Priviligijuotos (administratoriaus) paskyros teisių gavimas sistemoje. |
Neprivilegijuotos paskyros išnaudojimas (angl. Unprivileged Account Compromise) | Neteisėtas pasinaudojimas sistema, užpuolikui gavus sistemos vartotojo/paslaugos nesankcionuotas teises. | |
Programos išnaudojimas (angl. Application Compromise) | Programos išnaudojimas, naudojant žinomus programinės įrangos pažeidžiamumus, pvz. SQL injekcija. | |
Įsilaužimas (angl. Burglary) | Fizinis įsilaužimas, pvz. į įmonės pastatą ar duomenų centrą. | |
Prieinamumas (angl. Availability) | Paslaugos trikdymas (angl. Denial of Service) | Paslaugų trikdymo ataka, pvz. specialiai sukurtų užklausų siuntimas žiniatinklio programai, kuri sukelia programos gedimą arba sulėtėjimą, negebėjimą aptarnauti klientų užklausas. |
Paskirstytasis paslaugos trikdymas (angl. Distributed Denial of Service) | Paskirstyta paslaugų trikdymo ataka, pvz. „SYN-Flood“ arba UDP pagrindu atspindintys / stiprinimo išpuoliai. | |
Neteisinga konfigūracija (angl. Misconfiguration) | Programinės įrangos neteisingas konfigūravimas, dėl kurio kyla paslaugų prieinamumo problemos, pvz. DNS serveris su pasenusia „DNSSEC Root zone KSK“. | |
Diversija (angl. Sabotage) | Fizinis sabotažas, pvz., nupjaunami laidai | |
Nutraukimas (angl. Outage) | Išjungimas, pvz. dėl oro kondicionavimo sutrikimo arba stichinės nelaimės. | |
Informacijos turinio saugumas (angl. Information Content Security) | Neteisėta prieiga prie informacijos (angl. Unauthorised access to information) | Neteisėta prieiga prie informacijos, pvz. piktnaudžiaujant pavogtais prisijungimo duomenimis sistemai ar taikymui, perimant srautą arba pasiekiant prieigą prie fizinių dokumentų. |
Neteisėtas informacijos keitimas (angl. Unauthorised modification of information) | Neteisėtas informacijos keitimas, pvz. užpuolikas piktnaudžiauja pavogtais prisijungimo duomenimis sistemai ar programai arba „ransomware“ šifravimo duomenims. | |
Duomenų praradimas (angl. Data Loss) | Duomenų praradimas, pvz. dėl kietojo disko gedimo ar fizinės vagystės. | |
Sukčiavimas (angl. Fraud) | Neteisėtas išteklių naudojimas (angl. Unauthorized use of resources) | Išteklių naudojimas neleistiniems tikslams, įskaitant pelno siekiančias įmones, pvz. elektroninio pašto naudojimas dalyvavimui nelegaliuose pelno grandinės laiškuose ar piramidės schemose. |
Autorių teisės (angl. Copyright) | Neteisėtos komercinės programinės įrangos ar kitų autorių teisėmis saugomų kūrinių kopijų platinimas arba diegimas. | |
Apsimetimas (angl. Masquerade) | Poveikio tipas, kai vienas subjektas neteisėtai pasisavina kito asmens tapatybę, kad iš to gautų naudos. | |
Duomenų vagystė (angl. Phishing) | Apsimetama kitu asmeniu, siekiant įtikinti vartotoją atskleisti asmeninius duomenis. | |
Pažeidžiamas (angl. Vulnerable) | Silpnas šifras (angl. Weak crypto) | Viešai prieinamos paslaugos, naudojančios silpną šifravimo algoritmą, pvz. žiniatinklio serveriai, jautrūs „POODLE/ FREAK“ atakoms. |
DDoS atakų stiprinimas (angl. DDoS amplifier) | Viešai prieinamos paslaugos, kurios gali būti įtrauktos į paskirstytas paslaugų trikdymo atakas (DDoS), pvz. „DNS open-resolver“ arba NTP su „Monlist“ funkcija. | |
Galimai nepageidaujamos prieinamos paslaugos (angl. Potentially unwanted accessible services) | Galimai nepageidaujamos viešai prieinamos paslaugos, pvz. Telnet, RDP arba VNC. | |
Informacijos atskleidimas (angl. Information disclosure) | Viešai prieinamos paslaugos, galinčios atskleisti slaptą informaciją, pvz. SNMP arba Redis. | |
Pažeidžiama sistema (angl. Vulnerable system) | Sistema, kuri yra pažeidžiama tam tikriems išpuoliams. Pvz., netinkamai sukonfigūruoti kliento tarpinio serverio nustatymai (pavyzdys: WPAD), pasenusi operacinės sistemos versija ir pan. | |
Kita (angl. Other) | Kita (angl. Other) | Visi incidentai, neatitinkantys vienos iš nurodytų kategorijų, turėtų būti įtraukti į šią grupę. |