Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

CSRF (XSRF, cross-site request forgery, межсайтовая подделка запроса) - вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки жертва должна быть аутентифицирована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, которое не может быть проигнорировано или подделано атакующим скриптом.
Подробнее на OWASP

Описание типа актива

Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality
Cвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
Целостность ? Целостность / integrity
Cвойство сохранения правильности и полноты активов.
Доступность ? Доступность / availability
Cвойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / Tampering
Вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их передачи. Защищаемое свойство – целостность.
Раскрытие информации ? Раскрытие информации / Information disclosure
Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство – конфиденциальность.
Отказ в обслуживании ? Отказ в обслуживании / Denial of service
Выход из строя активов или нарушение их работоспособности приводящее к невозможности их использования. Защищаемое свойство – доступность.
Повышение привилегий ? Повышение привилегий / Elevation of privilege
Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений действующих защитных механизмов. Защищаемое свойство – авторизация.
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель
Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель должен тем или иным способом получить доступ к процессам, проходящим в информационной системе.
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушитель
Под внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, не смотря на то, что они могут выполнять инструкции лиц, находящихся вне информационной системы.

Связанные защитные меры

Название Дата Влияние
Community
4
Настройка безопасных заголовков для web сайта
Разово Вручную Превентивная Техническая
10.09.2020
06.05.2021 4
Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.
Заголовки могут настраиваться на уровне сайта и/или веб сервера.
Сервис для проверки заголовков: https://securityheaders.com 
Перечень заголовков и параметров, которые следует настроить:
  1. X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 
  2. X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection 
  3. Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 
  4. Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server 
  5. X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options 
  6. X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx 
  7. X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html 
  8. Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy 
  9. Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data 
  10. HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security 
  11. Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT 
  12. Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy 
  13. Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies 
  14. X-Powered-By