Flokkunarfræði atvika

Útgáfa 2.1 - október 2020

CERT-IS styðst við flokkunrfræði sem vinnuhópur á vegum ENISA þróar. Þeirri vinnu er einnig lýst í skjali ENISA - Reference Incident Classification Taxonomy. Flokkunarfræði af þessu tagi er í eðli sínu í sífelldri þróun og kemur því til með að taka breytingum. CERT-IS uppfærir hana eftir því sem ENISA þróar sínar ráðlegginar en einnig í samræmi við endurgjöf þjónustuhóps síns. Við íslenskar þýðingar er stuðst við Tölvuorðasafn SKÝ.

Athugið að ekki er til algild flokkun atvika. Flokkunarfræði af þessu tagi er gagnleg fyrir tilkynnendur til að átta sig á megin flokkum atvika og samræma samskipti viðbragðsaðila sín á milli. Flokkunarfræði eins og sú sem hér er sett fram hefur óhjákvæmilega takmarkanir, varðandi flokkunrfræði stórra og flókinna mála þar sem margir flokkar atvika geta verið í gangi samtímis. Því er nauðsynlegt að tilkynnendur skrifi um atvikið og sitt mat á því í lýsingu þess.

Flokkur Undirflokkur
Spillikóði (Malicious Code) Sýkt kerfi (Infected system)

Stjórnlag spillinets (C2 Server)

Dreifing spillikóða (Malware Distribution)

Hysing spillikóða (Malware Configuration)
Upplýsingasöfnun (Information Gathering) Skönnun (Scanning)

Hlerun (Sniffing)

Bragðvísi (Social engineering)
Tilraun til yfirtöku (Intrusion attempt) Notkun þekkts veikleika (Exploitation of known vulnerability)

Innskráningartilraunir (Login attempts)

Áður óþekkt tækni (New attack signature)
Innbrot (Intrusion) Stjórn náð á stjórnreikningi (Privileged account compromise)

Stjórn náð á notendareikning (Unprivileged account compromise)

Hugbúnaðarkerfi spillt (Application compromise)

Kerfi spillt (System compromise)

Raunlægt innbrot (Burglary)
Óvirkt kerfi/skert virkni (Availability) Álagsárás (Denial-of-service)

Mistök (Misconfiguration)

Skemmdarverk (Sabotage)

Þjónustutruflanir af öðrum örsökum (Outage)
Upplýsingaöryggi (Information content security) Óheimill aðgangur að gögnum (Unauthorized access to information)

Óheimil breyting gagna (Unauthorized modification of information)

Gagnatap (Data Loss)

Gagnaleki (Leak of confidential information)
Svindl/svik (Fraud) Óheimil notkun auðlinda (Unauthorized use of resources)

Brot á höfundarrétti (Copyright)

Misnotkun á nafni eða öðrum auðkennum (Masquerade)

Veiðar (Phishing)
Ólöglegt eða óæskilegt efni (Abusive content) Óumbeðinn fjölpóstur (Spam)

Hatursorðræða (Harmful Speech)

Ofbeldisfullt/kynferðislegt efni ((Child) Sexual Exploitation/Sexual/Violent Content)
Veikleiki (Vulnerable) Veik dulkóðun (Weak crypto)

Mögnun álagsárása (DDoS amplifier)

Mögulegt aðgengi að veikum þjónustum (Potentially unwanted accessible services)

Óæskileg opinberun upplýsinga (Information disclosure)

Veikt kerfi (Vulnerable system)
Annað (Other) Annað - óflokkað (Other - Uncategorized)

Annað - óákveðið (Other - Undetermined)

Spillikóði (Malicious Code)

Atvik sem fela í sér notkun á spillikóða (e. malicious code / malware).

Top

Sýkt kerfi (Infected system)

System infected with malware, e.g. PC, smartphone or server infected with a rootkit. Most often this refers to a connection to a sinkholed C2 server

Atvik sem fela í sér að kerfi hefur verið sýkt með spillikóða. Kerfi getur hér m.a. verið eftir atvikum einmenningstölva, snjallsími eða þjónn. Dæmi um spillikóða innifela "rootkit", gíslatökuforrit ("ransomware") og yrkja (bot) í yrkjaneti (botneti). Atvik af þessu tagi eru oft uppgötvuð með greiningu tenginga frá sýktu kerfi við þekkta spilliþjóna (Command-and-control) eða "sinkhole" tengingar.

Top

Stjórnlag spillinets (C2 Server)

Command-and-control server contacted by malware on infected systems.

Atvik sem þar sem kerfi er stjórnþjónn eða stjórnlag spillinets, þ.e. þjónn eða þjónar sem eru í samskiptum við sýkt kerfi. Getur verið bæði þjónar sem hafa verið teknir yfir af óprúttnum aðilum eða settir upp sérstaklega til að gegna þessu hlutverki.

Top

Dreifing spillikóða (Malware Distribution)

URI used for malware distribution, e.g. a download URL included in fake invoice malware spam or exploit-kits (on websites).

Lén eða þjónn notaður til að dreifa spillikóða. Innifelur m.a. vefslóðir sem vísa á spillikóða í fjölpósti eða á vefsíðum, en einnig "exploit kits" - vefþjóna sem settir eru upp til að sýkja vélar gesta sem þá heimsækja.

Top

Hýsing spillikóða (Malware Configuration)

URI hosting a malware configuration file, e.g. web-injects for a banking trojan.

Lén eða þjónn notaður til að vista spillikóða eða stoðskrár. Dæmi innifela virkan spillikóða sem sóttur er af "loaders", stillingaskrár spillikóða ("configuration") og "web-injects" fyrir "banking trojan".

Top

Upplýsingasöfnun (Information Gathering)

Atvik sem fela í sér óheimilaða söfnun upplýsinga um kerfi eða einstaklina sem nýta sér kerfi.

Top

Skönnun (Scanning)

Attacks that send requests to a system to discover weaknesses. This also includes testing processes to gather information on hosts, services and accounts. Examples: fingerd, DNS querying, ICMP, SMTP (EXPN, RCPT, ...), port scanning.

Atvik sem felur í sér óumbeðna sendingu beiðna á kerfi til að leiða í ljós nethögun eða eiginleika þess. Innifelur m.a. portskönn (E: port scanning) og veikleikaskönn.

Top

Hlerun (Sniffing)

Observing and recording of network traffic (wiretapping).

Atvik sem felur í sér óheimilaða skoðun eða söfnun netumferðar. Felur í sér atvik þar sem hugbúnaði eða raunlægum búnaði er beitt til að safna eða greina netumferð án heimildar.

Top

Bragðvísi (Social engineering)

Gathering information from a human being in a non-technical way (e.g. lies, tricks, bribes, or threats).

Atvik sem felur í sér söfnun upplýsinga frá persónu eða persónum, þar sem beitt er brögðun. hótunum, mútum eða á annan hátt tæla viðkomandi til að ljóstra upp um upplýsingar.

Top

Tilraun til yfirtöku

Atvik sem felur í sér að óprúttnir aðilar gera tilraun til að taka yfir kerfi, í heild eða að hluta.

Top

Notkun þekkts veikleika (Exploitation of known vulnerability)

An attempt to compromise a system or to disrupt any service by exploiting vulnerabilities with a standardised identifier such as CVE name (e.g. buffer overflow, backdoor, cross site scripting, etc.)

Atvik sem felur í sér tilraun til að taka yfir kerfi eða trufla starfsemi þess með að nýta þekkta veikleika s.s. þá sem bera CVE númer. Veikleikar eru allar þær aðgerðir hugbúnaðar eða vélbúnaðar sem hægt er að misnota af óprúttnum aðila til að framkvæma aðgerðir sem kerfi var ekki hannað til að gera eða ná stjórn umfram það sem heimilað er. Telur einnig notkun á árásartækni s.s. "SQL-injection", "Cross-site scripting" og "buffer overflows".

Top

Innskráningartilraunir (Login attempts)

Multiple login attempts (Guessing / cracking of passwords, brute force). This IOC refers to a resource, which has been observed to perform brute-force attacks over a given application protocol.

Atvik sem felur í sér endurteknar tilraunir til innskráningar af óprúttnum aðilum, m.a. með að nýta endurteknar ágiskanir ("brute-force") eða brotin lykilorð.

Top

Áður óþekkt tækni (New attack signature)

An attack using an unknown exploit.

Árás sem nýtir sér áður óþekkta tækni eða veikleika.

Top

Innbrot (Intrusions)

Atvik sem felur í sér innbrot óprúttinna aðila í kerfi.

Top

Stjórn náð á stjórnreikningi (Privileged account compromise)

Compromise of a system where the attacker gained administrative privileges.

Innbrot í kerfi sem felur í sér að óprúttinn aðili nær stjórn á kerfisstjórnreikningi eða öðrum notendareikning með aukin réttindi, s.s. root eða admin.

Top

Stjórn náð á notendareikning (Unprivileged account compromise)

Compromise of a system using an unprivileged (user/service) account.

Innbrot í kerfi sem felur í sér að óprúttinn aðili nær stjórn á notendareikning án aukinna réttinda, þ.e. reikningi almenns notanda

Top

Hugbúnaðarkerfi spillt (Application compromise)

Compromise of an application by exploiting (un-)known software vulnerabilities, e.g. SQL injection.

Stjórn náð á hugbúnaðarkerfi með að nýta þekkta eða óþekkta veikleika/tækni s.s. "SQL injection", "Cross-site scripting" og "buffer overflows".

Top

Kerfi spillt (System compromise)

Compromise of a system, e.g. unauthorised logins or commands. This includes compromising attempts on honeypot systems.

Stjórn náð á kerfi með óheimiluðum innskráningum eða öðrum aðgerðum.

Top

Raunlægt innbrot (Burglary)

Physical intrusion, e.g. into corporate building or data-centre.

Atvik sem felur í sér raunlæg innbrot s.s. í fyrirtæki eða gagnaver og ógna öryggi eins eða fleiri kerfa. Innbrot sem slík eru meðhöndluð af lögreglu og mikilvægt að kæra formlega sem fyrst.

Top

Óvirkt kerfi/skert virkni (Availability)

Atvik sem sem felur í sér þjónusturof eða skerta virkni kerfis.

Top

Álagsárás (Denial-of-service)

Denial of Service attack, e.g. sending specially crafted requests to a web application which causes the application to crash or slow down.

Atvik sem felur í sér að virkni kerfis er vísvitandi skert af óprúttnum aðilum

Álagsárás s.s. sending sérstaklega sniðinna netpakka á vefkerfi sem stöðvar eða skerðir rekstur þess. Dæmi um árásarumferð innifela SYN-flóð og UDP reflection/amplification.

Ekki er gerður greinarmunur á álagsárás og dreifðri álagsárás (DDoS), þ.e. álagsárás framkvæmd af mörgum árásaraðilum samtímis, s.s. yrkjanetum (botnets). Alvarleiki er metinn út frá áhrifum árásar á fórnarlambið, fyrst og fremst með tilliti til magns umferðar og hversu þróuð aðferðin er.

Top

Mistök (Misconfiguration)

Software misconfiguration resulting in service availability issues, e.g. DNS server with outdated DNSSEC Root Zone KSK.

Öryggisatvik sem felast í skertri virkni kerfis vegna mistaka við uppsetningu eða rekstur kerfa. Dæmi eru DNS þjónar með útrunnum DNSSEC skírteinum.

Top

Skemmdarverk (Sabotage)

Physical sabotage, e.g cutting wires or malicious arson.

Atvik þar sem virkni kerfis er vísvitandi skert með raunlægum árásum s.s. íkveikjum og skemmdum á lögnum.

Top

Þjónustutruflanir af öðrum örsökum (Outage)

Outage caused e.g. by air condition failure or natural disaster.

Þjónusturof og rekstrartruflanir af öðrum orsökum, þ.m.t. slys, óviljaverk og af náttúrulegum orsökum.

Top

Upplýsingaöryggi (Information content security)

Atvik sem tengjast öryggi og aðgengileika upplýsinga.

Top

Óheimill aðgangur að gögnum (Unauthorized access to information)

Unauthorised access to information, e.g. by abusing stolen login credentials for a system or application, intercepting traffic or gaining access to physical documents.

Öryggisatvik sem felast í óheimiluðum aðgangi að upplýsingum, þ.m.t. notkun á stolnum aðgangsupplýsingum til að nálgast stafrænar upplýsingar.

Top

Óheimil breyting gagna (Unauthorized modification of information)

Unauthorised modification of information, e.g. by an attacker abusing stolen login credentials for a system or application or a ransomware encrypting data. Also includes defacements.

Atvik sem felur í sér óheimilaða breytingu eða eyðingu gagna, þ.m.t. notkun á stolnum aðgangsupplýsingum til að eyða eða breyta stafrænum upplýsingum. Sem dæmi má nefna eyðingu taflna úr gagnagrunnum eða breytingu á færslum, eyðingu umferðaskráa (logs) og spillingu vefsíðna ("defacement").

Top

Gagnatap (Data Loss)

Loss of data, e.g. caused by harddisk failure or physical theft.

Gagnatap af öðrum orsökum s.s. orsakað af þjófnaði á búnaði og bilunum.

Top

Gagnaleki (Leak of confidential information)

Leaked confidential information like credentials or personal data.

Öryggisatvik sem innifela leka á trúnaðarupplýsingum, s.s. innskráningarupplýsingar notenda, notendaupplýsingar og persónuupplýsingar.

Top

Svindl/svik (Fraud)

Atvik sem felur í sér svindl og svikastarfsmi af ýmsu tagi.

Top

Óheimil notkun auðlinda (Unauthorized use of resources)

Using resources for unauthorised purposes including profit-making ventures, e.g. the use of e-mail to participate in illegal profit chain letters or pyramid schemes.

Atvik sem felur í sér óheimilaða notkun auðlinda.

Top

Offering or Installing copies of unlicensed commercial software or other copyright protected materials (Warez).

Atvik sem felur í sér brot á höfundarrétti s.s. framboð og/eða notkun höfundarréttarvörðu efni af öllu tagi, þ.m.t. hugverk og hugbúnaður (warez). Rétt er að taka fram að aðgerðir CERT-IS í slíkum málum felast að hámarki í rannsókn og tilmælum um að stöðva dreifingu á efni. Rannsókn á aðilum sem nýta sér höfundarréttarvarið efni er ekki á hendi CERT-IS. Telji tilkynnandi að brotið sé á höfundarrétti sínum er bent á að leggja án tafar fram kæru til lögreglu.

Top

Misnotkun á nafni eða öðrum auðkennum (Masquerade)

Type of attack in which one entity illegitimately impersonates the identity of another in order to benefit from it.

Atvik sem felur í sér óheimila notkun auðkenna eða nafns einstaklinga, fyrirtækja eða stofnana. Aðgerðir CERT-IS felast að hámarki í tilmælum um að stöðva starfsemi af því tagi. Telji tilkynnandi að brotið sé á höfundarrétti sínum er bent á að leggja án tafar fram kæru til lögreglu.

Top

Veiðar (Phishing)

Masquerading as another entity in order to persuade the user to reveal private credentials. This IOC most often refers to a URL, which is used to phish user credentials.

Atvik sem felur í sér veiðar af ýmsu tagi, þ.e. tilraunir óprúttinna aðila til að komast yfir upplýsingar fórnarlambs með brögðum. Innifela póstveiðar þar sem aðilar eru blekktir til að opinbera viðkvæmar upplýsingar og vefveiðar þar sem falskar vefsíður, t.d. innskráningarsíður, eru notaðar til þess sama.

Top

Ólöglegt eða óæskilegt efni (Abusive content)

Atvik sem felur í sér miðlun eða mótttöku á ólöglegu eða óæskilegu rafrænu efni.

Top

Óumbeðinn fjölpóstur (Spam)

Spam or 'Unsolicited Bulk Email', this means that the recipient has not granted verifiable permission for the message to be sent and that the message is sent as part of a larger collection of messages, all having a functionally comparable content. This IOC refers to resources, which make up a SPAM infrastructure, be it a harvesters like address verification, URLs in spam e-mails etc.

Atvik sem felur í sér sendingu eða móttöku óumbeðins fjölpósts í verulegu magni. Gerendur eru sendendur fjölpósts (viljandi eða óviljandi), sem og kerfi sem styðja þá starfsemi.

Top

Hatursorðræða (Harmful speech)

Discretization or discrimination of somebody, e.g. cyber stalking, racism or threats against one or more individuals.

Atvik sem felur í sér orðræðu sem skilgreind er sem hatursfull s.s. niðrandi í garð persóna eða hópa. Innifelur m.a. neteinelti og hótanir gangvart einstaklingi eða hópum. Atvik af þessu tagi eru að jafnaði ekki meðhöndluð af CERT-IS og er tilkynnendum bent á að leggja fram kæru til lögreglu sem fyrst.

Top

Ofbeldisfullt/kynferðislegt efni ((Child) Sexual exploitation/Sexual/Violent content)

Child Sexual Exploitation (CSE), Sexual content, glorification of violence, etc.

Atvik sem felur í sér vistun og miðlun ofbeldisfulls stafræns efnis s.s. sem birtir börn á ofbeldisfullan eða kynferðislegan hátt, annað kynferðislegt eða ofbeldisfullt efni. Atvik af þessu tagi eru að jafnaði ekki meðhöndluð af CERT-IS og er tilkynnendum bent á að leggja fram kæru til lögreglu sem fyrst.

Top

Veikleiki (Vulnerable)

Veikleikar af ýmsu tagi sem aukið geta áhættu rekstraraðila varðandi netöryggi. Bæði getur verið um að ræða galla í hugbúnaði/vélbúnaði og í uppsetningu. Undirflokkar eru í samræmi við viðmiðun ENISA en tilkynnandi er beðinn að skýra í stuttu en ítarlegu máli í hverju tilkynntur veikleiki felst.

Veikleiki er áhættuþáttur í rekstri kerfis tilkynnanda eða annarra. Ef veikleiki hefur verið nýttur af óprúttnum aðila telst hann öryggisatvik og flokkast skv. ofangreindu.

Top

Veik dulkóðun (Weak crypto)

Publicly accessible services offering weak crypto, e.g. web servers susceptible to POODLE/FREAK attacks.

Veikleikar sem felast í göllum á dulkóðun s.s. notkun á algrímum sem ekki standast bestu venjur.

Top

Mögnun álagsárása (DDoS amplifier)

Publicly accessible services that can be abused for conducting DDoS reflection/amplification attacks, e.g. DNS open-resolvers or NTP servers with monlist enabled.

Veikleikar sem felast í að hægt er að nýta þjónustu til að magna álagsárásir. Dæmi eru "open resolvers".

Top

Mögulegt aðgengi að veikum þjónustum (Potentially unwanted accessible services)

Potentially unwanted publicly accessible services, e.g. Telnet, RDP or VNC.

Veikleikar sem felast í að þjónustur sem geta verið veikar fyrir eru aðgengilegar. Dæmi innifela Telnet, RDP, VNC og ILO þjónustur aðgengilegar á opnu interneti.

Top

Óæskileg opinberun upplýsinga (Information disclosure)

Publicly accessible services potentially disclosing sensitive information, e.g. SNMP or Redis.

Veikleikar sem felast í aðgengileika upplýsinga s.s. opnir SNMP og Redis þjónar á opnu interneti.

Top

Veikt kerfi (Vulnerable system)

A system which is vulnerable to certain attacks. Example: misconfigured client proxy settings (example: WPAD), outdated operating system version, XSS vulnerabilities, etc.

Aðrir veikleikar. Tilkynnandi er beðinn að skýra í hverju veikleikinn felst í stuttu en ítarlegu máli.

Top

Annað

Top

Annað - óflokkað (Other - Uncategorized)

All incidents which don't fit in one of the given categories should be put into this class or the incident is not categorised.

Atvik sem ekki er hægt að flokka samkvæmt ofangreindu. Tilkynnandi er beðinn að skýra eðli atviks eins vel og hægt er.

Top

Annað - óákveðið (Other - Undetermined)

The categorisation of the incident is unknown/undetermined.

Atvik sem ekki hefur verið unnt að flokka. Tilkynnandi er beðinn að skýra eðli atviks svo fljótt sem unnt er.

Top