Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

Фишинг это одна из разновидностей социальной инженерии, основанная на незнании пользователями основ компьютерной безопасности. Это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям, выполнения вредоносного кода в системах жертв или получение информации.
Наиболее частым примером фишинга является проведение массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков или внутри социальных сетей. В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо ссылка на сайт с редиректом, зараженное вложение или вложение содержащее ссылку на фишинговый сайт. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определённому сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
Фишинг можно разделить на внешний и внутренний:
При внешнем фишинге злоумышленник может отправлять жертвам электронные письма, содержащие вредоносные вложения или ссылки, как правило, для . Фишинг также может осуществляться с помощью сторонних сервисов, таких как платформы социальных сетей. Фишинг может включать методы социальной инженерии, такие как выдача себя за надежный источник.
Внутренний фишинг - это многоэтапная атака, при которой используется легитимная учетная запись электронной почты скомпрометированная злоумышленником. Злоумышленник пытается воспользоваться преимуществами доверенной внутренней учетной записи, чтобы увеличить вероятность того, что цель попадется на попытку фишинга.

Описание типа актива

Физические лица, трудоустроенные в компанию по трудовому договору или договору о дистанционной работе. Примечание: лиц, осуществляющих взаимодействие с компанией по договору подряда, следует относить к категории подрядчиков.
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrity Свойство сохранения правильности и полноты активов. Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / Tampering Вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их переда... Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос... Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство... Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.175 Угроза "фишинга" ? Унаследовано от входящей в состав риска уязвимости
Угроза заключается в возможности неправомерного ознакомления нарушителем с защищаемой информацией (в т.ч. идентификации/аутентиф...
Техники ATT@CK:
T1566.001 Phishing: Spearphishing Attachment
Adversaries may send spearphishing emails with a malicious attachment in an attempt to gain access to victim systems. Spearphish...
T1566.002 Phishing: Spearphishing Link
Adversaries may send spearphishing emails with a malicious link in an attempt to gain access to victim systems. Spearphishing wi...
T1566.003 Phishing: Spearphishing via Service
Adversaries may send spearphishing messages via third-party services in an attempt to gain access to victim systems. Spearphishi...
T1598.002 Phishing for Information: Spearphishing Attachment ? Унаследовано от входящей в состав риска уязвимости
Adversaries may send spearphishing messages with a malicious attachment to elicit sensitive information that can be used during ...

Связанные защитные меры

Название Дата Влияние
Community
10 23 / 84
Централизация системы антивирусной защиты (АВЗ)
Разово Вручную Техническая Превентивная
31.05.2021
31.05.2021 10 23 / 84
Цель: организовать централизованное управление АВЗ.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.

Рекомендации к заполнению карточки:
  • В приложении к защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
  • АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
  • Создать шаблон регулярной задачи по проверке работоспособности, обновления, контроля установки агентов АВЗ.
  • Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива.
Community
1 6 / 40
Проведение рассылки по информационной безопасности
Еженедельно Вручную Организационная Удерживающая
11.05.2021
11.05.2021 1 6 / 40
Цель: повышение осведомленности персонала.

Проведение информационной рассылки является базовой мерой повышения осведомленности персонала в вопросах ИБ.
Ключевым недостатком информационной рассылки является то, что работники могут пренебрегать ее изучением. Чтобы снизить этот недостаток рассылку следует проводить в максимально дружественной к работнику форме, без бюрократизированных фраз, с картинками и цветовыми акцентами.
В рассылке следует чередовать вопросы корпоративной ИБ и личной безопасности работников (работа с банковскими мошенниками, защита личных устройств и домашнего ПК), чтобы повысить ее ценность для работников.
В случае появления инцидентов безопасности и иных событий в компании, которые можно разобрать в рассылке, это следует делать чтобы работники воспринимали вопросы ИБ как реальность а не абстрактные рекомендации. Например, рассылка о фишинговой атаке на компанию, статистика по взломанным паролям пользователей компании, по вирусным заражениям и их основным источникам.

В заметке к мере приведены примеры тем для информационных рассылок.

Инструкция
  1. Проработать тему новой рассылки с учетом:
    1. Тем предыдущих рассылок
    2. Произошедших инцидентов безопасности
    3. Ситуации в мире (громкие инциденты в отрасли и на рынке) 
  2. Подготовить (написать) рассылку
  3. Разослать всем работникам
  4. По завершении задачи отразить тему проведенной рассылки в отчете
Рекомендации к заполнению карточки:
  • В заметке к мере прикрепить шаблон информационного письма для рассылки;
  • Создать шаблон регулярной задачи по проведению рассылки;
  • В отчете по исполнению задач указывать название проведенной рассылки.