Incidentų taksonomija


LITNET CERT tarnyba IT saugos incidentus klasifikuoja remdamasi Europos tinklų ir informacijos saugumo agentūros (ENISA) darbo grupės RSIT-WG  sudaryta incidentų taksonomija (klasifikatoriumi).  Daugiau informacijos galite rasti ENISA svetainėje  https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy  ir RSIT-WG darbo grupės puslapyje :  https://github.com/enisaeu/Reference-Security-Incident-Taxonomy-Task-Force/

Klasifikacija Incidentų tipai Aprašymas
Žeidžiantis turinys (angl. Abusive Content) Brukalas (angl. Spam) Nepageidaujamas masinis el. pašto laiškų siuntimas, neturint gavėjo sutikimo.
Žalinga kalba (angl. Harmful Speech) Diskreditavimas ar diskriminacija, rasizmas nukreiptas prieš vieną ar daugiau asmenų.
Vaikų pornografija/ lytinis/ smurtinis turinys (angl. Child porn/ Sexual/ Violant Content) Vaikų pornografija, vaikų išnaudojimas, lytinis, smurtinis turinys
Kenkėjiškas kodas (angl. Malicious Code) Užkrėstos sistemos (angl. Infected System) Sistema užkrėsta kenkėjiška programa, pvz. PK, tarnybinė stotis, išmanusis telefonas, užkrėstas virusu, kuris įrenginį užkrečia kitomis kenkėjiškomis programomis.
C2 serveriai (angl. C2 server) Botnet komandų ir valdymo įrenginys, valdantis kenkėjiška programa užkrėstų sistemų tinklą.
Kenkėjiškų programų platinimas (angl. Malware Distribution) Žalingo/kenkėjiško kodo platinimas (per svetainę, el. paštu). Pvz., puslapio adresas naudojamas kenkėjiškų programų platinimui.
Kenkėjiškų programų konfigūravimas (angl. Malware Configuration) URI (angl. Uniform Resource Identifier), kuriame yra kenkėjiškų programų konfigūracijos failas.
Informacijos rinkimas (angl. Information Gathering) Skenavimas (angl. Scanning) Atakos, siunčiančios užklausas sistemos trūkumams aptikti. Tai taip pat apima bandymų procesus, skirtus informacijos apie šeimininkus, paslaugas ir paskyras rinkimui (pvz., fingerd, DNS užklausa, ICMP, SMTP (EXPN, RCPT, …), prievado nuskaitymas).
Šnipinėjimas (angl. Sniffing) Tinklo srauto stebėjimas ir įrašinėjimas
Socialinė inžinerija (angl. Social Engineering) Informacijos rinkimas iš žmogaus ne techniniu būdu (pvz., Melas, gudrybės, kyšiai ar grėsmės).
Bandymai įsibrauti (angl. Intrusion Attempts) Žinomų pažeidžiamumų išnaudojimas (angl. Exploitation of known Vulnerabilities) Bandymas gauti prieigą prie informacinės sistemos arba trikdyti bet kokią paslaugą, išnaudojant pažeidžiamumą su standartizuotu identifikatoriumi, pvz., CVE pavadinimu (pvz., Buferio perpildymu, „backdoor“, „cross-site-scripting“ ir t.t.)
Bandymai prisijungti (angl. Login Attempts) Bandymai prisijungimo prie sistemos (slaptažodžių parinkimas/krekingas, brutali jėga).
Naujos atakos parašas (angl. New attack signature) Ataka, naudojanti nežinomą pažeidžiamumą.
Įsibrovimai (angl. Intrusions) Privilegijuotos paskyros išnaudojimas (angl. Privileged Account Compromise) Sistemos, kurioje užpuolikas įgijo administracines teises, išnaudojimas. Priviligijuotos (administratoriaus) paskyros teisių gavimas sistemoje.
Neprivilegijuotos paskyros išnaudojimas (angl. Unprivileged Account Compromise) Neteisėtas pasinaudojimas sistema, užpuolikui gavus sistemos vartotojo/paslaugos nesankcionuotas teises.
Programos išnaudojimas (angl. Application Compromise) Programos išnaudojimas, naudojant žinomus programinės įrangos pažeidžiamumus, pvz. SQL injekcija.
Įsilaužimas (angl. Burglary) Fizinis įsilaužimas, pvz. į įmonės pastatą ar duomenų centrą.
Prieinamumas (angl. Availability) Paslaugos trikdymas (angl. Denial of Service) Paslaugų trikdymo ataka, pvz. specialiai sukurtų užklausų siuntimas žiniatinklio programai, kuri sukelia programos gedimą arba sulėtėjimą, negebėjimą aptarnauti klientų užklausas.
Paskirstytasis paslaugos trikdymas (angl. Distributed Denial of Service) Paskirstyta paslaugų trikdymo ataka, pvz. „SYN-Flood“ arba UDP pagrindu atspindintys / stiprinimo išpuoliai.
Neteisinga konfigūracija (angl. Misconfiguration) Programinės įrangos neteisingas konfigūravimas, dėl kurio kyla paslaugų prieinamumo problemos, pvz. DNS serveris su pasenusia „DNSSEC Root zone KSK“.
Diversija (angl. Sabotage) Fizinis sabotažas, pvz., nupjaunami laidai
Nutraukimas (angl. Outage) Išjungimas, pvz. dėl oro kondicionavimo sutrikimo arba stichinės nelaimės.
Informacijos turinio saugumas (angl. Information Content Security) Neteisėta prieiga prie informacijos (angl. Unauthorised access to information) Neteisėta prieiga prie informacijos, pvz. piktnaudžiaujant pavogtais prisijungimo duomenimis sistemai ar taikymui, perimant srautą arba pasiekiant prieigą prie fizinių dokumentų.
Neteisėtas informacijos keitimas (angl. Unauthorised modification of information) Neteisėtas informacijos keitimas, pvz. užpuolikas piktnaudžiauja pavogtais prisijungimo duomenimis sistemai ar programai arba „ransomware“ šifravimo duomenims.
Duomenų praradimas (angl. Data Loss) Duomenų praradimas, pvz. dėl kietojo disko gedimo ar fizinės vagystės.
Sukčiavimas (angl. Fraud) Neteisėtas išteklių naudojimas (angl. Unauthorized use of resources) Išteklių naudojimas neleistiniems tikslams, įskaitant pelno siekiančias įmones, pvz. elektroninio pašto naudojimas dalyvavimui nelegaliuose pelno grandinės laiškuose ar piramidės schemose.
Autorių teisės (angl. Copyright) Neteisėtos komercinės programinės įrangos ar kitų autorių teisėmis saugomų kūrinių kopijų platinimas arba diegimas.
Apsimetimas (angl. Masquerade) Poveikio tipas, kai vienas subjektas neteisėtai pasisavina kito asmens tapatybę, kad iš to gautų naudos.
Duomenų vagystė (angl. Phishing) Apsimetama kitu asmeniu, siekiant įtikinti vartotoją atskleisti asmeninius duomenis.
Pažeidžiamas (angl. Vulnerable) Silpnas šifras (angl. Weak crypto) Viešai prieinamos paslaugos, naudojančios silpną šifravimo algoritmą, pvz. žiniatinklio serveriai, jautrūs „POODLE/ FREAK“ atakoms.
DDoS atakų stiprinimas (angl. DDoS amplifier) Viešai prieinamos paslaugos, kurios gali būti įtrauktos į paskirstytas paslaugų trikdymo atakas (DDoS), pvz. „DNS open-resolver“ arba NTP su „Monlist“ funkcija.
Galimai nepageidaujamos prieinamos paslaugos (angl. Potentially unwanted accessible services) Galimai nepageidaujamos viešai prieinamos paslaugos, pvz. Telnet, RDP arba VNC.
Informacijos atskleidimas (angl. Information disclosure) Viešai prieinamos paslaugos, galinčios atskleisti slaptą informaciją, pvz. SNMP arba Redis.
Pažeidžiama sistema (angl. Vulnerable system) Sistema, kuri yra pažeidžiama tam tikriems išpuoliams. Pvz., netinkamai sukonfigūruoti kliento tarpinio serverio nustatymai (pavyzdys: WPAD), pasenusi operacinės sistemos versija ir pan.
Kita (angl. Other) Kita (angl. Other) Visi incidentai, neatitinkantys vienos iš nurodytų kategorijų, turėtų būti įtraukti į šią grupę.