Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Скрытые или неизвестные, не контролируемые каналы передачи информации.

Описание уязвимости

Злоумышленник может выдавать несанкционированный трафик за легитимные протоколы или трафик веб-служб, чтобы скрыть действия по управлению и утечке информации, помешать анализу вредоносных действий.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS),  Serial over LAN (SOL).
Трафик может передаваться запланировано,  только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.

Описание типа актива

Объём информации, передаваемой через компьютерную сеть за определённый период времени. Количество трафика измеряется как в пакетах, так и в битах, байтах и их производных: килобайт (КБ), мегабайт (МБ) и т. д.
Трафик подразделяется на:
  • исходящий (информация, поступающая во внешнюю сеть);
  • входящий (информация, поступающая из внешней сети);
  • внутренний (в пределах определённой сети, чаще всего локальной);
  • внешний (за пределами определённой сети, чаще всего — интернет-трафик).
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.111 Угроза передачи данных по скрытым каналам ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности осуществления нарушителем неправомерного вывода защищаемой информации из системы, а также перед...
Техники ATT@CK:
T1001.003 Data Obfuscation: Protocol Impersonation ? Унаследовано от входящей в состав риска уязвимости
Adversaries may impersonate legitimate protocols or web service traffic to disguise command and control activity and thwart anal...
T1029 Scheduled Transfer ? Унаследовано от входящей в состав риска уязвимости
Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be d...
T1041 Exfiltration Over C2 Channel ? Унаследовано от входящей в состав риска уязвимости
Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the norm...
T1095 Non-Application Layer Protocol ? Унаследовано от входящей в состав риска уязвимости
Adversaries may use a non-application layer protocol for communication between host and C2 server or among infected hosts within...
T1102.001 Web Service: Dead Drop Resolver ? Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service to host information that points to additional command and contr...
T1102.002 Web Service: Bidirectional Communication ? Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service as a means for sending commands to and receiving output from a ...
T1102.003 Web Service: One-Way Communication ? Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service as a means for sending commands to a compromised system without...

Связанные защитные меры

Ничего не найдено