Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Описание угрозы
Скрытые или неизвестные, не контролируемые каналы передачи информации.Описание уязвимости
Злоумышленник может выдавать несанкционированный трафик за легитимные протоколы или трафик веб-служб, чтобы скрыть действия по управлению и утечке информации, помешать анализу вредоносных действий.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Злоумышленник также может подделывать рукопожатие SSL/TLS создавая впечатление, что последующий трафик зашифрован по протоколу SSL/TLS. Потенциально это может помешать некоторым средствам защиты, или представить так чтобы трафик выглядел как будто он связан с доверенной сущностью.
Так же злоумышленник может использовать протоколы не прикладного уровня для связи между хостом и сервером управления или между зараженными хостами в сети. Список возможных протоколов обширен, примерами могут быть ICMP, UDP, Socket Secure (SOCKS), Serial over LAN (SOL).
Трафик может передаваться запланировано, только в определенное время суток или через определенные промежутки времени. Это позволяет смешать передаваемый трафик с нормальной активностью пользователей.
Для передачи команд управления и информации могут использоваться легитимные ресурсы в сети Интернет - социальные сети, сервисы Google, Twitter и т.п. Поставщики веб-услуг обычно используют шифрование SSL / TLS, что дает злоумышленникам дополнительный уровень защиты.
Описание типа актива
Объём информации, передаваемой через компьютерную сеть за определённый период времени. Количество трафика измеряется как в пакетах, так и в битах, байтах и их производных: килобайт (КБ), мегабайт (МБ) и т. д.
Трафик подразделяется на:
Трафик подразделяется на:
- исходящий (информация, поступающая во внешнюю сеть);
- входящий (информация, поступающая из внешней сети);
- внутренний (в пределах определённой сети, чаще всего локальной);
- внешний (за пределами определённой сети, чаще всего — интернет-трафик).
Область действия: Вся организация
Объекты атаки
Классификация
КЦД:
Конфиденциальность
?
STRIDE:
Раскрытие информации
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
БДУ ФСТЭК:
УБИ.111
Угроза передачи данных по скрытым каналам
?
Угроза заключается в возможности осуществления нарушителем неправомерного вывода защищаемой информации из системы, а также перед...
Техники ATT@CK:
T1001.003
Data Obfuscation:
Protocol Impersonation
?
Adversaries may impersonate legitimate protocols or web service traffic to disguise command and control activity and thwart anal...
T1029
Scheduled Transfer
?
Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be d...
T1041
Exfiltration Over C2 Channel
?
Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the norm...
T1095
Non-Application Layer Protocol
?
Adversaries may use a non-application layer protocol for communication between host and C2 server or among infected hosts within...
T1102.001
Web Service:
Dead Drop Resolver
?
Adversaries may use an existing, legitimate external Web service to host information that points to additional command and contr...
T1102.002
Web Service:
Bidirectional Communication
?
Adversaries may use an existing, legitimate external Web service as a means for sending commands to and receiving output from a ...
T1102.003
Web Service:
One-Way Communication
?
Adversaries may use an existing, legitimate external Web service as a means for sending commands to a compromised system without...
Связанные защитные меры
Ничего не найдено