Карточка риска

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Угроза

Боковое перемещение злоумышленника по локальной сети

из-за уязвимости

Возможность удаленного подключения через RDS Shadow

в Активе

ОС Windows

Описание угрозы

Тактика бокового движения (Lateral Movement) включает методы получения злоумышленником доступа и контроля над удаленными системами, подключенными к атакованной сети, а так же, в некоторых случаях, запуска вредоносных инструментов на удаленных системах, подключенных к атакованной сети. Боковое перемещение по сети позволяет злоумышленнику получать информацию из удаленных систем без использования дополнительных инструментов, таких как утилиты удаленного доступа (RAT).

Описание уязвимости

Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1.
По умолчанию, если параметр в ОС не задан, разрешается подключение с запросом/уведомлением пользователя. Злоумышленник, получив доступ к ОС пользователя может изменить параметр локальной политики и далее подключаться без уведомления/согласия пользователя.

Описание типа актива

Microsoft Windows любых версий

Объекты атаки Локальная сеть

Классификация

КЦД: Конфиденциальность Целостность

Источники угрозы

Внешний нарушитель - Низкий потенциал

Внутренний нарушитель - Низкий потенциал

Каталоги угроз

Связанные защитные меры

	Название	Дата	Влияние
Community 9 25 / 57	Выделение ключевых систем в отдельную сеть (сегментация сети) Разово Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 25 / 57
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании. В зависимости от особенностей компании в отдельные сегменты выделяют: Технологические, производственные сети Банковские системы Инфраструктуру SWIFT ПК руководства Ключевые бизнес-системы Системы персональных данных Способы сегментации: Логический, с помощью технологий VLAN на сетевом оборудовании Логический, на уровне управления виртуальной инфраструктурой Физический, путем создания отдельных ЛВС для ключевых сегментов Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Пояснить способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community 1 3 / 35	Блокировка возможности удаленного подключения к ПК через RDP Shadow Разово Автоматически Техническая Превентивная 22.06.2021	22.06.2021	1 3 / 35
Цель: защита от бокового перемещения злоумышленника с использованием функционала RDP Shadow. Протокол RDP позволяет осуществлять удаленное подключение к сессии пользователя. По умолчанию в ОС Windows возможность включена с запросом на подтверждение от пользователя. В случае корректировки параметра на уровне ПК возможно последующее незаметное подключение к сессии пользователя. Необходимо принудительно отключить данную возможность. Настройка с помощью групповой политики: Конфигурация компьютера / Административные шаблоны /Компоненты Windows / Службы удаленных рабочих столов / Узел сеансов удаленных рабочих столов / Подключения Параметр Устанавливает правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов Значение Включено с опцией Удаленное управление не разрешено. *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 6 5 / 34	Межсетевое экранирование на границе сети Постоянно Автоматически Техническая Превентивная 03.06.2021	03.06.2021	6 5 / 34
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Установка и настройка межсетевых экранов на все точки входа/выхода между локальной сетью и Интернет или между сетевыми сегментами. Реализуются базовые функции экранирования: фильтрация трафика на уровне интерфейсов, IP адресов и портов (L2-L4); трансляция адресов (NAT); регистрация событий. *Рекомендации к заполнению карточки:* Описать базовую политику межсетевого экранирования, включая ACL; Дополнительные инструменты анализа сетевого трафика (ids/ips, url filtering, application filtering и т.д.) могут оформляться отдельными защитными мерами. Инструментом для реализации защитной меры следует указать конкретные Межсетевые экраны, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.