Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Цель: предотвращение подделки злоумышленником доменных имен.
hosts - файл в OС, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. Подробнее о файле hosts
Расположение для ОС Windows: %WinDir%\System32\Drivers\Etc
Возможно несанкционированное изменение содержимого файла, что может привести к подделке IP адресов для локальных и публичных узлов (фарминг).
Необходимо контролировать целостность файлов hosts в инфраструктуре. Для этого осуществлять их регулярный аудит на всех ПК/Серверах и автоматически уведомлять подразделение по информационной безопасности об изменениях в файлах hosts.
Возможны следующие варианты реализации защитной меры:
hosts - файл в OС, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. Подробнее о файле hosts
Расположение для ОС Windows: %WinDir%\System32\Drivers\Etc
Возможно несанкционированное изменение содержимого файла, что может привести к подделке IP адресов для локальных и публичных узлов (фарминг).
Необходимо контролировать целостность файлов hosts в инфраструктуре. Для этого осуществлять их регулярный аудит на всех ПК/Серверах и автоматически уведомлять подразделение по информационной безопасности об изменениях в файлах hosts.
Возможны следующие варианты реализации защитной меры:
- С использованием сканера уязвимостей
- С использованием ПО для контроля целостности
- Скриптом (пример реализации в комментариях)
В заметке приведен пример скрипта для контроля файлов hosts
Инструкция
При поступлении уведомления об изменениях в файле hosts необходимо:
При поступлении уведомления об изменениях в файле hosts необходимо:
- Проанализировать изменения
- Если изменения носят вредоносный характер:
- Провести антивирусную проверку хоста
- Выявить источник изменений
- Удалить изменения или заменить файл hosts на типовой
- Если изменения сделаны для обеспечения рабочего процесса - добавить изменение в исключения чтобы убрать ложные сработки в будущем.
Рекомендации к заполнению карточки:
- Создать шаблон регулярной задачи по контролю изменений файла hosts;
- Создать эталонный файл и прикрепить его в заметке к защитной мере.
Классификация
Тип
Техническая
?
Технические (логические) меры
Технологические решения и меры, реализуемые в организации для снижения вероятности реализации рисков безопасности и их воздействия на организацию.
Внутри орган...
Детективная
?
Детективные меры
Эти меры применяются для выявления любых вредоносных действий, нарушений и инцидентов. Эти меры не останавливают и не смягчают попытки вторжения, они только иде...
Реализация
Автоматически
Периодичность
Ежедневно
Ответственный
Не определено
Инструменты
Не определено
Предшествующие меры
Не требуется
Следующие меры
Не определено
Исполнение требований
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
Связанные риски
Риск | Угроза | Уязвимость | Тип актива | Связи | |
---|---|---|---|---|---|
Заражение вредоносным программным обеспечением
из-за
возможности подмены информации об IP адресах (фарминг)
в ОС Windows
Доступность
Конфиденциальность
Отказ в обслуживании
Повышение привилегий
Раскрытие информации
Целостность
Искажение
|
Заражение вредоносным программным обеспечением
Доступность
Конфиденциальность
Отказ в обслуживании
Повышение привилегий
Раскрытие информации
Целостность
Искажение
|
Возможность подмены информации об IP адресах (фарминг) | ОС Windows | 2 | |
Раскрытие ключей (паролей) доступа
из-за
возможности подмены информации об IP адресах (фарминг)
в ОС Windows
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Раскрытие ключей (паролей) доступа
Конфиденциальность
Повышение привилегий
Раскрытие информации
Подмена пользователя
|
Возможность подмены информации об IP адресах (фарминг) | ОС Windows | 2 |
Комментарии 1
1 год назад
Пример поиска несанкционированных записей в файле hosts на ПК Windows через скрипт