Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Описание угрозы
Скрытые или неизвестные, не контролируемые каналы передачи информации.Описание уязвимости
Злоумышленник может выдавать несанкционированный трафик за легитимные протоколы или трафик веб-служб, чтобы скрыть действия по управлению и утечке информации, помешать анализу вредоносных действий.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Описание типа актива
Объём информации, передаваемой через компьютерную сеть за определённый период времени. Количество трафика измеряется как в пакетах, так и в битах, байтах и их производных: килобайт (КБ), мегабайт (МБ) и т. д.
Трафик подразделяется на:
Трафик подразделяется на:
- исходящий (информация, поступающая во внешнюю сеть);
- входящий (информация, поступающая из внешней сети);
- внутренний (в пределах определённой сети, чаще всего локальной);
- внешний (за пределами определённой сети, чаще всего — интернет-трафик).
Объекты атаки
Классификация
КЦД:
Конфиденциальность
?
Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE:
Раскрытие информации
?
Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель -
Низкий потенциал
?
Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы.
К внутренним нарушителям относят инсайдеров, несмотря на то...
БДУ ФСТЭК:
УБИ.111
Угроза передачи данных по скрытым каналам
?
Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности осуществления нарушителем неправомерного вывода защищаемой информации из системы, а также перед...
Техники ATT@CK:
T1001.003
Data Obfuscation:
Protocol Impersonation
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may impersonate legitimate protocols or web service traffic to disguise command and control activity and thwart anal...
T1029
Scheduled Transfer
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be d...
T1041
Exfiltration Over C2 Channel
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the norm...
T1095
Non-Application Layer Protocol
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may use a non-application layer protocol for communication between host and C2 server or among infected hosts within...
T1102.001
Web Service:
Dead Drop Resolver
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service to host information that points to additional command and contr...
T1102.002
Web Service:
Bidirectional Communication
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service as a means for sending commands to and receiving output from a ...
T1102.003
Web Service:
One-Way Communication
?
Унаследовано от входящей в состав риска уязвимости
Adversaries may use an existing, legitimate external Web service as a means for sending commands to a compromised system without...
Связанные защитные меры
Ничего не найдено