Typy řešených incidentů

Sensor Network
Ve spolupráci se sdružením CESNET provozujeme systém detekující podezřelé chování systémů připojených do sítě Internet. V případě, že zaznamenáme podezřelé pokusy o připojení z konkrétních IP adres, informujeme ihned o takové události zodpovědné administrátory prostřednictvím e-mailové adresy ids@csirt.cz. IDS zaznamenává pouze spojení realizovaná přes protokol TCP. V případě, že pracujete na bezpečnostním výzkumu nebo si z jiných důvodu přejete být z databáze pro zasílaní těchto informací vyřazeni, kontaktujte nás na ids@csirt.cz. Více informací najdete zde. V případě IDS se z pohledu CSIRT.CZ nejedná o klasický bezpečnostní incident. IDS pouze upozorňuje administrátora dané sítě na nestandardní chování jeho systému, které může být jedním ze symptomů bezpečnostního incidentu. Posouzení, zda tomu tak je, však leží na bedrech příslušného administrátora.
Phishing
Podvodné stránky vytvořené nejčastěji za účelem získaní citlivých informací od uživatelů, jako příklad můžeme uvést uživatelská jména, hesla nebo přihlašovací údaje do internetového bankovnictví.
Spam
Nevyžádané e-mailové zprávy hlášené jako podnět k řešení.
Malware
Škodlivý kód, který se může šířit různým způsobem, například prostřednictvím přílohy v e-mailu, nakaženými webovými stránkami, chybou v programu apod.
Other
Incidenty, které nelze jednoduše zařadit do jiných skupin. Jde převážně o typy incidentů s ojedinělým výskytem.
Trojan
Škodlivý program, který se často vydává za legitimní. Na rozdíl od virů a červů se trojany samy nereplikují. Trojany se odlišují typem akcí, které vykonávají.
DOS
Typ útoků, jejichž cílem je znepřístupnit službu dalším uživatelům. Do této kategorie se nejčastěji zařazují hlášení týkající se adres, které se na útoku podílejí a bývají součástí tzv. botnetu. Často se také jedná o špatně zabezpečené serverové služby, které jsou pak zneužity k DoS útokům na další cíle.
Probe
Na rozdíl od skenování portů hovoříme v případě Probe o hledání konkrétního otevřeného portu napříč určitým IP rozsahem,. Útočník tak skenuje celý IP rozsah přidělený určité instituci a hledá na jejích serverech například přístupnou službu SSH.
Virus
Škodlivý program, který může být nechtěnou součástí programu nebo dokumentu a negativně ovlivňuje výkon stroje.
Botnet
Síť nakažených strojů tzv. botů. Hlášení obvykle obsahují seznamy IP adres, které se podílely na nějakém útoku (nejčastěji DdoS), byly získány odhalením sítě botnetu nebo se naopak jedná o IP adresy, na kterých se nachází řídící centrum nějakého botnetu.
Portscan
Způsob zjišťování informací o službách, které jsou provozovány na jednotlivých portech. Často jde o přípravu na útok nebo zneužití služby.
Pharming
Útok využívající nejčastěji podvodné webové stránky k získávání citlivých údajů, podobně jako je tomu v případě phishingu. Pharming je však mnohem záludnější. Podstatou útoku je nejčastěji napadení DNS (otrávení DNS cache) a následně změna IP adres u služeb, které vyžadují přihlašovací údaje nebo zadání údajů pro internetové bankovnictví.

  • *Počet incidentů odpovídá počtu hlášení. Jedno hlášení však může obsahovat více než jednu IP adresu, ke které se incident vztahuje.