Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Недоступность означает что сервис временно неработоспособен из сети Интернет. Недоступность сервиса не обязательно означает его уничтожение или поломку, недоступность может быть временным состоянием. Например, в результате атаки на отказ в обслуживании, повреждения каналов связи.

Описание уязвимости

Протокол TLS предназначен для предоставления трёх услуг всем приложениям, работающим над ним, а именно: шифрование, аутентификацию и целостность.
Удостоверяющий центр может отозвать TLS  сертификат.
По требованиям документа Baseline Requirements for the Issuance and Management of Publicly‐Trusted Certificates (действует для УЦ – членов CA/Browser Forum) УЦ обязан отозвать выданный им сертификат при наступлении любого из следующих событий:
  • поступление заявления от лица, которому сертификат выдан;
  • (вероятная) компрометация приватного ключа сертификата;
  • «технический брак» в сертификате, существенное изменение или неаккуратность включенной в него информации;
  • выдача сертификата неуполномоченному на его получение лицу;
  • лишение УЦ права выдавать сертификаты;
  • разделегирование или передача прав на домен, для которого выдан сертификат;
  • нарушение «материальных обязательств» получателя сертификата перед выдавшим его УЦ;
  • использование сертификата ненадлежащим образом;
  • выдача сертификата с нарушением регламентов УЦ по его выдаче.
Сертификаты могут быть так же отозваны по геополитическим причинам, в результате международных санкций, в результате мошенничества в отношении УЦ.
Область действия: Вся организация
Ключевая угроза ?
Объекты атаки Публичный IP-адрес | SaaS
Классификация
КЦД: Доступность ?
STRIDE: Отказ в обслуживании ?
Источники угрозы
Внешний нарушитель - Низкий потенциал ?
Внутренний нарушитель - Низкий потенциал ?

Каталоги угроз