LITNET CERT tarnyba IT saugos incidentus klasifikuoja remdamasi Europos tinklų ir informacijos saugumo agentūros (ENISA) darbo grupės RSIT-WG sudaryta incidentų taksonomija (klasifikatoriumi). Daugiau informacijos galite rasti ENISA svetainėje https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy ir RSIT-WG darbo grupės puslapyje : https://github.com/enisaeu/Reference-Security-Incident-Taxonomy-Task-Force/
| Klasifikacija | Incidentų tipai | Aprašymas |
|---|---|---|
| Žeidžiantis turinys (angl. Abusive Content) | Brukalas (angl. Spam) | Nepageidaujamas masinis el. pašto laiškų siuntimas, neturint gavėjo sutikimo. |
| Žalinga kalba (angl. Harmful Speech) | Diskreditavimas ar diskriminacija, rasizmas nukreiptas prieš vieną ar daugiau asmenų. | |
| Vaikų pornografija/ lytinis/ smurtinis turinys (angl. Child porn/ Sexual/ Violant Content) | Vaikų pornografija, vaikų išnaudojimas, lytinis, smurtinis turinys | |
| Kenkėjiškas kodas (angl. Malicious Code) | Užkrėstos sistemos (angl. Infected System) | Sistema užkrėsta kenkėjiška programa, pvz. PK, tarnybinė stotis, išmanusis telefonas, užkrėstas virusu, kuris įrenginį užkrečia kitomis kenkėjiškomis programomis. |
| C2 serveriai (angl. C2 server) | Botnet komandų ir valdymo įrenginys, valdantis kenkėjiška programa užkrėstų sistemų tinklą. | |
| Kenkėjiškų programų platinimas (angl. Malware Distribution) | Žalingo/kenkėjiško kodo platinimas (per svetainę, el. paštu). Pvz., puslapio adresas naudojamas kenkėjiškų programų platinimui. | |
| Kenkėjiškų programų konfigūravimas (angl. Malware Configuration) | URI (angl. Uniform Resource Identifier), kuriame yra kenkėjiškų programų konfigūracijos failas. | |
| Informacijos rinkimas (angl. Information Gathering) | Skenavimas (angl. Scanning) | Atakos, siunčiančios užklausas sistemos trūkumams aptikti. Tai taip pat apima bandymų procesus, skirtus informacijos apie šeimininkus, paslaugas ir paskyras rinkimui (pvz., fingerd, DNS užklausa, ICMP, SMTP (EXPN, RCPT, …), prievado nuskaitymas). |
| Šnipinėjimas (angl. Sniffing) | Tinklo srauto stebėjimas ir įrašinėjimas | |
| Socialinė inžinerija (angl. Social Engineering) | Informacijos rinkimas iš žmogaus ne techniniu būdu (pvz., Melas, gudrybės, kyšiai ar grėsmės). | |
| Bandymai įsibrauti (angl. Intrusion Attempts) | Žinomų pažeidžiamumų išnaudojimas (angl. Exploitation of known Vulnerabilities) | Bandymas gauti prieigą prie informacinės sistemos arba trikdyti bet kokią paslaugą, išnaudojant pažeidžiamumą su standartizuotu identifikatoriumi, pvz., CVE pavadinimu (pvz., Buferio perpildymu, „backdoor“, „cross-site-scripting“ ir t.t.) |
| Bandymai prisijungti (angl. Login Attempts) | Bandymai prisijungimo prie sistemos (slaptažodžių parinkimas/krekingas, brutali jėga). | |
| Naujos atakos parašas (angl. New attack signature) | Ataka, naudojanti nežinomą pažeidžiamumą. | |
| Įsibrovimai (angl. Intrusions) | Privilegijuotos paskyros išnaudojimas (angl. Privileged Account Compromise) | Sistemos, kurioje užpuolikas įgijo administracines teises, išnaudojimas. Priviligijuotos (administratoriaus) paskyros teisių gavimas sistemoje. |
| Neprivilegijuotos paskyros išnaudojimas (angl. Unprivileged Account Compromise) | Neteisėtas pasinaudojimas sistema, užpuolikui gavus sistemos vartotojo/paslaugos nesankcionuotas teises. | |
| Programos išnaudojimas (angl. Application Compromise) | Programos išnaudojimas, naudojant žinomus programinės įrangos pažeidžiamumus, pvz. SQL injekcija. | |
| Įsilaužimas (angl. Burglary) | Fizinis įsilaužimas, pvz. į įmonės pastatą ar duomenų centrą. | |
| Prieinamumas (angl. Availability) | Paslaugos trikdymas (angl. Denial of Service) | Paslaugų trikdymo ataka, pvz. specialiai sukurtų užklausų siuntimas žiniatinklio programai, kuri sukelia programos gedimą arba sulėtėjimą, negebėjimą aptarnauti klientų užklausas. |
| Paskirstytasis paslaugos trikdymas (angl. Distributed Denial of Service) | Paskirstyta paslaugų trikdymo ataka, pvz. „SYN-Flood“ arba UDP pagrindu atspindintys / stiprinimo išpuoliai. | |
| Neteisinga konfigūracija (angl. Misconfiguration) | Programinės įrangos neteisingas konfigūravimas, dėl kurio kyla paslaugų prieinamumo problemos, pvz. DNS serveris su pasenusia „DNSSEC Root zone KSK“. | |
| Diversija (angl. Sabotage) | Fizinis sabotažas, pvz., nupjaunami laidai | |
| Nutraukimas (angl. Outage) | Išjungimas, pvz. dėl oro kondicionavimo sutrikimo arba stichinės nelaimės. | |
| Informacijos turinio saugumas (angl. Information Content Security) | Neteisėta prieiga prie informacijos (angl. Unauthorised access to information) | Neteisėta prieiga prie informacijos, pvz. piktnaudžiaujant pavogtais prisijungimo duomenimis sistemai ar taikymui, perimant srautą arba pasiekiant prieigą prie fizinių dokumentų. |
| Neteisėtas informacijos keitimas (angl. Unauthorised modification of information) | Neteisėtas informacijos keitimas, pvz. užpuolikas piktnaudžiauja pavogtais prisijungimo duomenimis sistemai ar programai arba „ransomware“ šifravimo duomenims. | |
| Duomenų praradimas (angl. Data Loss) | Duomenų praradimas, pvz. dėl kietojo disko gedimo ar fizinės vagystės. | |
| Sukčiavimas (angl. Fraud) | Neteisėtas išteklių naudojimas (angl. Unauthorized use of resources) | Išteklių naudojimas neleistiniems tikslams, įskaitant pelno siekiančias įmones, pvz. elektroninio pašto naudojimas dalyvavimui nelegaliuose pelno grandinės laiškuose ar piramidės schemose. |
| Autorių teisės (angl. Copyright) | Neteisėtos komercinės programinės įrangos ar kitų autorių teisėmis saugomų kūrinių kopijų platinimas arba diegimas. | |
| Apsimetimas (angl. Masquerade) | Poveikio tipas, kai vienas subjektas neteisėtai pasisavina kito asmens tapatybę, kad iš to gautų naudos. | |
| Duomenų vagystė (angl. Phishing) | Apsimetama kitu asmeniu, siekiant įtikinti vartotoją atskleisti asmeninius duomenis. | |
| Pažeidžiamas (angl. Vulnerable) | Silpnas šifras (angl. Weak crypto) | Viešai prieinamos paslaugos, naudojančios silpną šifravimo algoritmą, pvz. žiniatinklio serveriai, jautrūs „POODLE/ FREAK“ atakoms. |
| DDoS atakų stiprinimas (angl. DDoS amplifier) | Viešai prieinamos paslaugos, kurios gali būti įtrauktos į paskirstytas paslaugų trikdymo atakas (DDoS), pvz. „DNS open-resolver“ arba NTP su „Monlist“ funkcija. | |
| Galimai nepageidaujamos prieinamos paslaugos (angl. Potentially unwanted accessible services) | Galimai nepageidaujamos viešai prieinamos paslaugos, pvz. Telnet, RDP arba VNC. | |
| Informacijos atskleidimas (angl. Information disclosure) | Viešai prieinamos paslaugos, galinčios atskleisti slaptą informaciją, pvz. SNMP arba Redis. | |
| Pažeidžiama sistema (angl. Vulnerable system) | Sistema, kuri yra pažeidžiama tam tikriems išpuoliams. Pvz., netinkamai sukonfigūruoti kliento tarpinio serverio nustatymai (pavyzdys: WPAD), pasenusi operacinės sistemos versija ir pan. | |
| Kita (angl. Other) | Kita (angl. Other) | Visi incidentai, neatitinkantys vienos iš nurodytų kategorijų, turėtų būti įtraukti į šią grupę. |