|
| Symantec Security Response http://www.symantec.com/region/br/avcenter/ |
Avaliação da Gravidade da Ameaça
|
A Threat Severity Assessment (Avaliação da Gravidade da Ameaça) do SARC avalia as ameaças aos computadores e as classifica em categorias de risco claramente definidas para os usuários. Há três componentes principais que são analisados para determinar a taxa de gravidade:
- A extensão de devastação do programa maligno.
- Os danos que um programa maligno pode causar se encontrado.
- O índice de velocidade à qual um programa maligno se espalha.
Baseada na avaliação de seus subcomponentes, cada categoria é determinada como Alto, Médio ou Baixo risco. A medida geral da gravidade, que é feita à partir de várias combinações de riscos, cai dentro de uma entre 5 categorias, sendo que a Categoria 5 (CAT 5) é a mais grave e a Categoria 1 (CAT 1) é a menos grave.
- A seção 1 descreve cada componente da ameaça.
- A seção 2 lista as combinações de componentes que resultam na medida geral da avaliação do risco.
Seção 1: Medidas das Ameaças
1.1 Atuação
Este componente mede a extensão na qual um vírus já se espalhou entre os usuários de computador. As informações sobre essa medida incluem:
- Número de locais independentes infectados
- Número de computadores infectados
- Distribuição geográfica da infecção
- A habilidade da tecnologia atual no combate da ameaça
- Complexidade do vírus
Orientações de Classificação:
- Alto: 1.000 máquinas, 10 locais ou 5 países infectados
- Médio: 50 a 999 máquinas, 2 locais/países infectados (ex.: WildList)
- Baixo: Outros números quaisquer
1.2 Danos
Este componente mede a quantidade de dano que determinada infecção poderia causar. As informações sobre essa medida incluem:
- Eventos engatilhados
- Servidores de e-mail obstruídos
- Arquivos excluídos/modificados
- Publicação de informações confidenciais
- Degradação de desempenho
- Rotinas de bug que causam queda de produtividade sem propósito
- Configurações de segurança comprometidas
- Facilidade no reparo de danos
Orientações de Classificação:
- Alto: Destruição/modificação de arquivos, tráfego muito alto no servidor, danos em grande escala não reparáveis, grandes quebras de segurança, gatilhos destruidores
- Médio: Alteração de configurações não críticas, rotinas de bug, danos de fácil reparo, gatilhos não destrutíveis
- Baixo: Comportamento destrutivo não intencional
1.3. Distribuição
O componente de distribuição mede a velocidade em que o programa se espalha. As informações sobre essa medida incluem:
- Ataque de e-mail em larga escala (worm)
- Ataque de código executável (vírus)
- Espalha-se somente através de download ou cópia (Trojan)
- Capacidade de infecção na unidade de rede
- Dificuldade de remoção/reparo
Orientações de Classificação:
- Alto: Worms, executáveis de rede, perigos que não podem ser contidos (devido à alta complexidade do vírus ou baixa habilidade do AV para combatê-lo)
- Médio: A maioria dos vírus
- Baixo: A maioria dos Trojan horses
Seção 2: Medida Geral da Gravidade
A medida geral da gravidade une os três componentes acima dentro de uma medida de risco para os usuários de computador. Existem 5 categorias de gravidade de ameaças.
Tipo de ameaça altamente perigosa, muito difícil de ser contida. Todas as máquinas deveriam efetuar o download das mais recentes definições de vírus imediatamente e executar uma verificação. Os servidores de e-mail podem precisar ser desligados. Exemplo recente: Melissa.A (quando apareceu primeiro). Todas as três medidas devem ser consideradas de Alto risco.
- Atuação: Alto risco
- Danos: Alto risco
- Distribuição: Alto risco
Tipo de ameaça perigosa, difícil de ser contida. As definições de vírus mais recentes devem ser transferidas imediatamente por download e distribuídas. Exemplo recente: CIH.
- Atuação: Alto risco
- Danos ou Distribuição: Alto risco
Tipo de ameaça caracterizada tanto como altamente devastadora (mas razoavelmente inofensiva e que pode ser contida), ou potencialmente perigosa (e impossível de ser contida) se liberada. Exemplo recente: Melissa.A (agora).
- Atuação: Alto risco
- Danos: Alto e Distribuição: Alto risco
Tipo de ameaça caracterizada tanto como de atuação baixa ou moderada (mas razoavelmente inofensiva e que pode ser contida), ou ameaça de não-atuação caracterizada por um dano pouco comum ou rotina de distribuição, ou talvez por algum recurso do vírus que produz manchetes nas notícias. Exemplo recente: Bubbleboy.
- Danos: Alto risco
- Distribuição: Alto risco
- Atuação: Risco Baixo ou Moderado
Representa pouca ameaça aos usuários. Raramente produz manchetes. Sem atuação.
- Atuação: Baixo risco
- Danos ou Distribuição: Baixo risco
Write-up by: George Koris