Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

SMB - это протокол общего доступа к файлам, принтерам и последовательным портам для компьютеров Windows в одной сети или домене. В качестве реализации SMB в Linux и macOS обычно используют Samba.
ОС Windows имеют скрытые сетевые ресурсы C$, ADMIN$ и IPC$, доступные только администраторам и обеспечивающие возможность удаленного копирования файлов и другие административные функции. Злоумышленник может использовать скомпрометированные учетные записи уровня администратора для удаленного доступа к сетевой системе через SMB, для взаимодействия с системами с помощью удаленных вызовов процедур (RPC), для передачи файлов и запуска передаваемых двоичных файлов через удаленное выполнение (через запланированные задачи/задания, службы и WMI Windows). Противники также могут использовать хэши NTLM для доступа к общим ресурсам администратора.

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Локальная сеть
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality
Cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
Целостность ? Целостность / integrity
Cвойство сохранения правильности и полноты активов.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Связанные защитные меры

Ничего не найдено