Vähem müra, selgem ohupilt: metoodika muutus küberintsidentide kajastamises

2020. aasta juulist lõpetame robotvõrgustikega Avalanche ja Necurs nakatumiste kajastamise CERT-EE intsidentide loetelus. Avalanche’i robotvõrgustik peatati rahvusvahelise politseioperatsiooni tulemusel 2016. aasta detsembris (kuid nakatumised jätkusid hiljemgi), Necursi võrgustiku sai Microsoft enda kontrolli alla 2020. aasta märtsis. Seega võib hinnata, et need kaks võrgustikku enam aktiivselt küberruumi ei ohusta.

Eesti küberintsidentide statistika RIA 2019. aasta küberturvalisuse aastaraamatus. Foto: RIA

Nende kahe võrgustikuga nakatumised on 2017-2019. aastal moodustanud ca 95% kõigist meie robotvõrgustikuga nakatumiste intsidentidest ning kuna me saame ja saadame neid teavitusi välja mõnikord mitu korda ööpäevas, siis moodustavad need ca 60% kõigist intsidentidest üldse.

See ei tähenda, et me enam nende nakatumistega ei tegeleks. Vastupidi – CERT-EE saadab üha tihedamini ja üha rohkem teavitusi välja robotvõrgustike (ja muu pahavaraga) nakatumiste kohta. Alates 2019 suvest on CERT-EE hakanud Eesti telekommunikatsiooniettevõtetele, veebiteenuste majutajatele ja oma võrke haldavatele asutustele välja saatma automatiseeritud teateid erinevate haavatavate seadmete / seadistuste kohta nende võrkudes. Automatiseeritus tähendab seda, et meie serverid saavad masinloetava info kätte usaldusväärselt allikalt, kes on loonud endale taristu haavatavuste ja nakatumiste tuvastamiseks üle terve maailma. Meie süsteemid jagavad info automaatselt edasi Eesti internetiruumis toimetavatele võrkude omanikele. Hetkel jõuab CERT-EEni info ca 3000 nakatumise kohta ööpäevas, mis mõjutab enam kui 700 serverit ja arvutit. Mõne seadme puhul on nakatumine olnud mitme pahavaraga korraga.

Mida rohkem taolisi allikaid me oma süsteemidesse integreerime, seda detailsemat pilti haavatavustest ja nakatumistest me Eesti IP-ruumi klientidele suudame pakkuda. Samas tähendab see ka teavituste tiheduse kasvu, mille ükshaaval statistikas kajastamine ei aita kaasa ohupildi selgemaks saamisele. Näiteks mai keskpaigast juuni keskpaigani oleme teada saanud ja seega ka teenusepakkujaid teavitanud 103 000-st nakatumisest. Numbreid analüüsides aga on näha, et ca 86 000 nendest olid seotud vaid kolme IP-aadressiga ja kokku teame 1701-st erinevast pahavaraga IP-aadressist. Paljud korduvad, paljud nakatumised on samuti seotud juba neutraliseeritud pahavarataristuga, seega ei anna need numbrid statistikas nii palju selgust juurde.

Avalanche’ ja Necurs robotvõrgustike nakatumiste kajastumise muutus hakkab esialgu silma paistma järsu intsidentide langusena (hinnanguliselt 50 – 60%), aga muudatuse tulemusel kajastab meie intsidentide statistika tegelikku ohupilti selgemalt. Kokkuvõtteid robotvõrgustikest plaanime teha ka edaspidi, aga teistmoodi, näidates nakatumiste trende üle teatud aja ning keskendudes nende dünaamikale.

Lauri Tankler
RIA juhtivanalüütik