Política de classificação de incidentes da

Rede

Na resposta a incidentes de segurança informática, onde a coordenação entre vários

intervenientes é essencial para o seu sucesso, a utilização de uma taxonomia comum
assume um papel de especial relevância. Da mesma forma, a existência de um método
único de classificação de incidentes para toda a Rede Nacional de CSIRTs permite a
reunião de dados estatísticos e indicadores a partir de várias fontes.

Assim, são propostos dois vectores para classificação de incidentes de segurança

informática. Um primeiro vector serve a identificação da violação de segurança,
enquanto um segundo vector serve para descrever o método de ataque utilizado.

O método de classificação pressupõe que cada incidente seja caracterizado por um único
tipo de incidente. Caso um incidente resulte em mais do que uma violação de segurança,
deve ser utilizada como classificação a mais grave. De seguida apresenta-se uma lista de
violações de segurança, ordenada de forma decrescente por grau de severidade:

Violação de
Descrição
segurança
Falsidade Alegada intenção de provocar engano nas relações jurídicas,
informática introduzir, modificar, apagar ou suprimir dados informáticos ou por
qualquer outra forma interferir num tratamento informático de
dados, produzindo dados ou documentos não genuínos, com a
intenção de que estes sejam considerados ou utilizados para
finalidades juridicamente relevantes como se o fossem. Inclui a
mistificação de sites Web para roubo de credenciais e a distribuição
de mensagens de correio electrónico de phishing
Alegada acção intencional e não autorizada ou a tentativa de
impedir ou interromper gravemente o funcionamento do sistema
Interferência em
informático, introduzindo, transmitindo, danificando, apagando,
sistema
deteriorando, alterando, suprimindo ou tornando inacessível
informático
qualquer componente de software ou hardware. Inclui os ataques de
negação de serviço.
Acesso ilegítimo a Alegado acesso ou tentativa de acesso intencional e não autorizado
sistema à totalidade ou a parte do sistema informático. Inclui roubo de
informático informação, nomeadamente segredo comercial, industrial ou dados
confidenciais protegidos por lei.
Interferência em O acto intencional e não autorizado ou a tentativa de apagar,
dados danificar, deteriorar, alterar, suprimir ou tornar inacessíveis dados
do sistema informático. Inclui malware e distribuição do mesmo
por correio electrónico.
Recolha não O acto intencional e não autorizado de reunir informação sobre
autorizada de redes e sistemas informáticos.
informação sobre
sistema
informático
Violação de Alegada violação de direitos autorais, independentemente dos
direitos de autor conteúdos serem constituídos por informação, código fonte,
projectos gráficos ou quaisquer outros elementos do sistema
informático protegidos por direitos de autor.
Mensagem de Alegada recepção/envio de mensagens de correio electrónico não
correio solicitadas, quer sejam produzidas para efeitos de marketing directo
electrónico não ou sem motivação aparente. Não inclui distribuição de malware ou
solicitada ataques de phishing.
Outra violação de Outra alegada violação (da politica) de segurança informática.
segurança

Quanto ao método de ataque, a classificação do incidente pode e deve ser feita listando a
combinação de métodos de ataque conhecidos. De seguida apresenta-se um conjunto de
categorias de métodos de ataque:

Método de ataque Descrição

Ataque físico Acesso físico a sistema de informação ou outro equipamento
Vulnerabilidade do Exploração de vulnerabilidade em sistema operativo
sistema operativo
Vulnerabilidade de Exploração de vulnerabilidade em aplicação (eg. Apache,
aplicação Acrobat reader, etc.)
Vulnerabilidade de Exploração de vulnerabilidade em serviço web em linha (eg.
serviço Web SQL injection, CSS, etc.)
Brute-force password Tentativas de acesso ilegítimo - automatizadas, sistemáticas e
attack em número elevado - em que o atacante recorre a dicionários,
algoritmos de decifração ou outras ferramentas informáticas
para descobrir a password.
Tentativa de login O atacante tenta descobrir ou contornar a password sem
procurar exaustivamente. Habitualmente são experimentadas
passwords fracas como “administrador”, “administrator”,
“admin” ou “root”.
e-mail flood Envio massivo (directo ou indirecto) de mensagens de correio
electrónico par um ou mais alvos.
Packet flood Envio massivo de pacotes IP ou ICMP para um ou mais alvos.
Distribuição Envio de mensagens de e-mail contendo código malicioso.
de malware por e-
mail
Distribuição de
Alojamento de código malicioso em site web.
malware via web
 Envio de mensagem de e-mail configurando uma burla (eg.
e-mail scam
nigerian scam).
Recolha e utilização de informações sobre a vítima para
Outro tipo de melhorar o nível de sucesso de um ataque (eg. envio de e-mail
engenharia social mistificado por forma a levar a vítima a acreditar na sua
autenticidade).
O atacante faz-se passar por interlocutor de uma comunicação
Man-in-the middle ou transação ganhando acesso à informação trocada entre os
reais intervenientes.
Outro método de
Qualquer outro método de ataque não listado.
ataque