Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Любая информация о компании, ее инфраструктуре, информационных системах и персонале может быть использована злоумышленником для проведения атак и компрометации информационных систем. 
Сбор информации об инфраструктуре осуществляется злоумышленниками на этапе разведки.

Описание уязвимости

Злоумышленники могут сканировать доступные публично (через сеть Интернет) IP адреса компании, чтобы собрать информацию о сетях, используемых IP-адресах, хостах, которым назначены эти адреса. 
Так же возможно сканирование локальных IP адресов если злоумышленники имеют доступ к локальным сетям компании.
Сканирование может быть в форме простых ICMP запросов или  более расширенным, позволяющим выявить программное обеспечение / версии хоста с помощью баннеров сервера или других сетевых артефактов. 
Информация из этих сканирований может выявить возможности для последующих атак и расширенных сканирований сервисов, в том числе сканирований на наличие уязвимостей и эксплуатации этих уязвимостей.
Пример, сканирование всех портов + определение версий сервисов:
nmap -sV -p0-65535 8.8.8.8

Описание типа актива

Корпоративные IP адреса, доступные из сети Интернет
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...

Каталоги угроз

БДУ ФСТЭК:
УБИ.098 Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб
Угроза заключается в возможности определения нарушителем состояния сетевых портов дискредитируемой системы (т.н. сканирование по...
Техники ATT@CK:
T1046 Network Service Scanning
Adversaries may attempt to get a listing of services running on remote hosts, including those that may be vulnerable to remote s...
T1595 Active Scanning
Adversaries may execute active reconnaissance scans to gather information that can be used during targeting. Active scans are th...
T1595.001 Active Scanning: Scanning IP Blocks
Adversaries may scan victim IP blocks to gather information that can be used during targeting. Public IP addresses may be alloca...

Связанные защитные меры

Название Дата Влияние
Community
1 26 / 34
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022
11.02.2022 1 26 / 34
Цель: управление техническими уязвимостями
Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры).
Варианты реализации
  1. Купить соответствующую услугу у компании, занимающейся информационной безопасностью
  2. Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах
  3. Купить подписку на облачный сканер уязвимостей
  4. Воспользоваться бесплатными инструментами
    Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов
Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями.

Рекомендации к заполнению карточки:
  • Указать название сканера, область и периодичность сканирования.
  • Сканер (актив) привязать к карточке как инструмент
  • Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент.
  • Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования