Algunos datos más
Next: About this document ... Up: Estadísticas Previous: Evolución de los incidentes Contents
Algunos datos más
Los porcentajes de incidentes atendidos en función al origen de los mismos ha variado significativamente con respecto a las proporciones correspondientes al año 2007 y presentadas en el Informe del año 2007. Durante el 2007, la mayoría de los incidentes atendidos tenían como origen casi a partes iguales máquinas de nuestra comunidad y máquinas Internacionales (en una proporción del 43% y el 49% respectivamente). Los incidentes con origen el dominio .es (ISPs Españoles) suponían un 8% del total.
Si observamos la gráfica anterior, las proporciones cambian sustancialmente obteniendo unos porcetajes del 77.46% de incidentes atendidos con origen RedIRIS, un 20.52% con origen máquinas de ISPs Españoles y tan sólo un 2.02% de origen internacional. Estas proporciones constatan que cada vez más IRIS-CERT se centra en la detección temprana, mediante sus sistemas de detección automática, de problemas que afectan a su ámbito de actuación primario (RedIRIS) y secundario (dominio *.es), esto último gracias a los acuerdos suscritos con los Proveedores españoles en el marco del Foro Abuses.
A continuación se plasma una gráfica donde se muestra la clasificación según el origen de la incidencia a lo largo de los años, donde se ve más claramente esta variación en origen que comentamos en el párrafo anterior y como volvemos a proporcines similares a años como el 2004 y el 2005.
La siguiente gráfica muestra la distribución de los incidentes por meses a lo largo del año 2008.
Los datos son los siguientes:
| Fecha | Total |
|---|---|
| 2008/01 | 148 |
| 2008/02 | 186 |
| 2008/03 | 195 |
| 2008/04 | 204 |
| 2008/05 | 290 |
| 2008/06 | 273 |
| 2008/07 | 309 |
| 2008/08 | 310 |
| 2008/09 | 291 |
| 2008/10 | 363 |
| 2008/11 | 226 |
| 2008/12 | 324 |
Para finalizar, mostramos una gráfica con la distribución de incidentes según la taxonoma de alto nivel que utilizamos.
Como sigue siendo habitual, los escaneos siguen teniendo gran protagonismo. Sin embargo, en la mayoría de los casos se trata de problemas mayores de toda índole pero la falta de informacón por vuestra parte nos hace englobarlos en este apartado de sondeos generales. Para demostrarlo, y según los datos que nos da nuestra herramienta de gestión de incidentes, del total de incidentes que os reportamos y que tienen como origen máquinas de la comunidad RedIRI, no hemos recibido respuesta alguna en 1331 casos, lo que supone un 42.67% del total, un porcetaje sin duda a mejorar.
También es elevado el número de incidentes clasificados como ''Troyano'' que se deben fundamentalmente a máquinas comprometidas por troyanos que se han detectado al estar participando en una botnet conocida. Estas conexiones eran detectadas gracias al análisis de los flujos de red a partir de informes que bien nos indicaban los servidores de C&C de dichas botnets o bien reportes automáticos de máquinas participantes en botnets recibidas desde grupos como cymru o shadowserver. También troyanos como el Storm Worm (que como hemos comentado anteriormente tuvo una gran incidencia en nuestra comunidad los primeros meses del año pasado), y la proliferación de troyanos bancarios (keyloggers) desde hace ya unos años han hecho que los incidentes de este tipo hayan experimentado un fuerte crecimiento. También observamos un porcentaje elevado de incidentes clasificados como ''Uso no Autorizado'', que como indicábamos en el informe del año pasado corresponden en su mayoría a casos de Phishing en máquinas fundamentalemente localizadas en ISPs y a problemas de inyecciones de código.
Next: About this document ... Up: Estadísticas Previous: Evolución de los incidentes Contents IRIS-CERT 2009-02-10
