1. Перелік категорій кіберінцидентів (далі – Перелік) розроблений з використанням та відповідає рекомендації Європейської агенції з кібербезпеки (ENISA Reference Incident Classification Taxonomy[1], січень 2018 року), а також спільному документу ENISA та Європейського центру боротьби з кіберзлочинністю Європолу (Common Taxonomy for Law Enforcement and The National Network of CSIRTs [2]).

2. Перелік призначений для впровадження єдиної таксономії як інструменту для обміну інформацією щодо кіберінцидентів.

3. Перелік може застосовуватись суб’єктами забезпечення кібербезпеки для формування за необхідності власних переліків кіберінцидентів відповідно до специфіки роботи з дотриманням кодування категорій кіберінцидентів, наведених у цьому документі.

4. Перелік має регулярно переглядатися з урахуванням практики його застосування, появи нових категорій і типів кіберінцидентів, а також інформації, отриманої від суб’єктів забезпечення кібербезпеки.

5. Суб’єкти забезпечення кібербезпеки при обміні та поширенні інформації про кіберінциденти, підготовці звітів і публічних повідомлень про кіберінциденти застосовують Перелік.

6. Цей перелік є обов'язковим для  основних суб’єктів забезпечення кібербезпеки при реєстрації, обліку та обміні інформацією про кіберінциденти, передачі звітів до НКЦК, зокрема із використанням автоматизованих платформ обміну інформацією про кіберзагрози.

7. У випадку, коли на початковій стадії реагування кіберінцидент може бути віднесений до декількох категорій, вибирається категорія із більшим рівнем загрози.

 

Код

Категорія інциденту

Назва інциденту

Назва інциденту в MISP

01.

Шкідливий (образливий) вміст (Abusive content)

Спам

Spam

Образливий контент

Harmful Speech [3]

Шкідливий контент

Child/Sexual/Violence/... [4]

02.

Шкідливий програмний код (Malicious Code)

Вірус

Virus

Хробак

Worm

Троян

Trojan

Шпигунське програмне забезпечення

Spyware

Діалер

Dialer

Руткіт

Rootkit

Шкідливе програмне забезпечення

Malware

Управління ботами

Botnet drone

Програма-здирник

Ransomware

Конфігурація шкідливого програмного забезпечення

Malware configuration

Командно-контрольний центр

C&C

03.

Збір інформації зловмисником (Information Gathering)

Сканування

Scanning

Перехоплення і аналіз мережевого трафіку

Sniffing

Соціальна інженерія

Social Engineering

04.

Спроби втручання (Intrusion Attempts)

Експлуатація відомих вразливостей

Exploiting of known Vulnerabilities [5]

Спроби авторизації

Login attempts [6]

Експлуатація раніше невідомих вразливостей

New attack signature (exploit) [7]

05.

Втручання (Intrusion)

Компрометація привілейованого облікового запису

Privileged Account Compromise

Компрометація непривілейованого облікового запису

Unprivileged account compromise

Компрометація застосунку

Application compromise

Бот

Bot

Дефейс

Defacement

Компрометація системи

Compromised

Бекдор

Backdoor

06.

Порушення доступності (Availability)

Атака на відмову в обслуговуванні

DoS

Розподілена атака на відмову в обслуговуванні

DDoS

Саботаж, диверсія

Sabotage

Збій без участі зловмисника

Outage, no malice

07.

Порушення властивостей інформації  (Information Content Security)

Несанкціонований доступ до інформації

Unauthorised access to information

Несанкціоноване внесення змін до інформації

Unauthorised modification of information

Сервер з публічними правами на запис

Dropzone [8]

08.

Шахрайство (Fraud)

Несанкціоноване використання ресурсів

Unauthorized use of resources

Порушення авторських прав

Copyright

Маскарадинг

Masquerade [9]

 

 

Фішинг

Phishing

09.

Відома вразливість (Vulnerable)

Вразливості, відкриті для експлуатації

Open for abuse

10.

Інше (Other)

Чорний список

Blacklist

Недостатньо даних

Unknown

Інше

Other [10]

 

Приклад представлення інформації, яка надається при обміні про кіберінциденти.

 

Приклад повідомлення щодо обміну інформацією про кіберінциденти.



[1] https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy
[2] https://www.europol.europa.eu/sites/default/files/documents/common_taxonomy_for_law_enforcement_and_csirts_v1.3.pdf
[3] Небажаний контент, в тому числі расистський чи ксенофобний матеріал, погрози особі чи групі осіб
[4] Шкідливий контент, в тому числі дитяча порнографія, насильство, пропаганда
[5] Спроба компрометації чи пошкодження функціонування системи або сервісу шляхом експлуатації вразливостей, які мають стандартизований ідентифікатор (наприклад,  CVE)
[6] Численні спроби авторизації: підбір паролів, злам паролів і т.п.
[7] Використання раніше невідомих вразливостей і експлойтів
[8] Зловмисники використовують сервери з правами на запис для тимчасового збереження викраденої із скомпрометованих систем інформації, в тому числі даних кейлогерів, скомпрометованих облікових даних і т.ін.
[9] Використання копії ідентифікаторів суб'єкта або системи, в тому числі крадіжка особистості
[10] Інциденти, які не відносяться до будь-якого вищезазначеної категорії

https://cert.gov.ua/article/16905