23.10.2015 10:45

5E5: Die nächste runde Ticketnummer

Es ist soweit: unser Ticketsystem hat wieder eine symbolische Grenze überschritten: Wir haben das Ticket #500000 behandelt:

Date: Thu Oct 22 11:07:54 2015
Queue: Investigations
Subject: [CERT.at #500000] SSDP-Service aus dem Internet erreichbar in AS12635

20151022-ticket-stats

Was bedeuten diese Zahlen? Und was nicht?

  • Wir bekommen und senden viele Emails. Die meisten davon sind Berichte an ISPs, dass wir in unseren Datenquellen Probleme in deren Netzen gefunden haben.
  • Unser Arbeitsvolumen korreliert nicht 1:1 mit der Ticket-Zahl. In vielen Fällen gehen die Mails nach einer kurzen Kontrolle fast automatisch hinaus. Er gibt aber andere Tickets, die ernsthaft viel manuelle Arbeit brauchen. Das reicht von Exploit-Packs, wo wir oft analysieren, wo das Problem ist, über Rückfragen zu Standardtickets bis hin zur Behandlung von Sonderfällen und akuten Anlässen.
  • Das Wachstum spiegelt nicht eine Verschlechterung der Sicherheitslage in Österreich wieder. Die Qualität und Diversität unserer Quellen -- und zu welchen Botnetzen daten vorhanden sind -- dominiert in vielen Fällen Änderungen im Durchseuchungsgrad.
  • Details unseres Verarbeitungsprozesss änderen die Zahl der Tickets: Wir stellen aktuell die Verarbeitung von "1 Mail pro ISP pro Malwarefamilie/Quelle pro Tag" auf "1 Mail pro Tag an den ISP mit allen Malwarefällen" um. Das wird die Zahl der Mails demnächst stark drücken. Andererseits haben wir dann auch die Möglichkeit, auf Wünsche von ISPs besser eingehen zu können. So will etwa einer pro betroffener IP-Adresse eine eigene Mail bekommen.

Autor: Otmar Lendl