Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Недоступность означает что сервис временно неработоспособен из сети Интернет. Недоступность сервиса не обязательно означает его уничтожение или поломку, недоступность может быть временным состоянием. Например, в результате атаки на отказ в обслуживании, повреждения каналов связи.

Описание уязвимости

Протокол TLS предназначен для предоставления трёх услуг всем приложениям, работающим над ним, а именно: шифрование, аутентификацию и целостность.
Удостоверяющий центр может отозвать TLS  сертификат.
По требованиям документа Baseline Requirements for the Issuance and Management of Publicly‐Trusted Certificates (действует для УЦ – членов CA/Browser Forum) УЦ обязан отозвать выданный им сертификат при наступлении любого из следующих событий:
  • поступление заявления от лица, которому сертификат выдан;
  • (вероятная) компрометация приватного ключа сертификата;
  • «технический брак» в сертификате, существенное изменение или неаккуратность включенной в него информации;
  • выдача сертификата неуполномоченному на его получение лицу;
  • лишение УЦ права выдавать сертификаты;
  • разделегирование или передача прав на домен, для которого выдан сертификат;
  • нарушение «материальных обязательств» получателя сертификата перед выдавшим его УЦ;
  • использование сертификата ненадлежащим образом;
  • выдача сертификата с нарушением регламентов УЦ по его выдаче.
Сертификаты могут быть так же отозваны по геополитическим причинам, в результате международных санкций, в результате мошенничества в отношении УЦ.
Ключевая угроза ? Высокоуровневая, бизнес угроза, возможный ущерб конкретен и понятен руководству и бизнес-подразделениям
Объекты атаки Публичный IP-адрес | SaaS
Классификация
КЦД: Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Связанные защитные меры

Название Дата Влияние
Community
1
Замена TLS сертификата на сертификат портала государственных услуг
Разово Вручную Техническая Превентивная Компенсирующая
21.03.2022
21.03.2022 1
Цель: заблаговременная замена иностранных сертификатов на отечественные. 
В рамка[ санкций зарубежный удостоверяющий центр может произвести отзыв сертификата. Трафик между клиентом и сервером будет продолжать шифроваться, но браузеры будут отображать соединение как не доверенное. 

Меры со стороны веб-серверов и сайтов:
  1. Через аккаунт юридического лица запросить отечественный TLS сертификат на портале государственных услуг https://gosuslugi.ru/tls  
  2. Подготовить инструкцию замены в случае отзыва иностранного сертификата.
  3. Организовать резервный http-редирект с инструкцией для пользователей.
Меры со стороны клиентов и локальных ИТ инфраструктур:
  1. Установить пользователям браузер Яндекс или Атом.
  2. Вручную скачать и установить корневой сертификат удостоверяющего центра портала государственных услуг https://gosuslugi.ru/tls. В соответствии с инструкцией добавить сертификат в браузер (Chrome, Firefox).

Рекомендации к заполнению карточки:
  • Указать перечень публичных сервисов для которых выпущены сертификаты
  • Создать шаблон ежегодной задачи на перевыпуск сертификатов
  • Если ведется учет электронных подписей (полученных сертификатов) -  вести его в разделе Электронная подпись