Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

После получения доступа к операционной системе злоумышленник может закрепиться в ней и продолжить получать доступ к системе вне зависимости от прерываний доступа.

Описание уязвимости

Злоумышленники могут использовать утилиту AT для выполнения первичного или повторного выполнения вредоносного кода.
Утилита AT является кроссплатформенным планировщиком задач в ОС Windows и Linux. 
Злоумышленник может использовать утилиту для выполнения программ при запуске системы или по расписанию для закрепления в инфраструктуре. Также утилита может быть использована для проведения удаленного выполнения в рамках горизонтального перемещения и/или для запуска процесса в контексте определенной учетной записи (например, СИСТЕМЫ в средах Windows или от имени другого пользователя в Linux) для повышения привилегий. 

Описание типа актива

Семейство Unix-подобных операционных систем на базе ядра Linux, включающих тот или иной набор утилит и программ проекта GNU, и, возможно, другие компоненты.
Объекты атаки Операционная система
Классификация
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1053.001 Scheduled Task/Job: At (Linux)
Adversaries may abuse the at utility to perform task scheduling for initial or recurring exe...
T1053.002 Scheduled Task/Job: At (Windows) ? Унаследовано от входящей в состав риска уязвимости
Adversaries may abuse the at.exe utility to perform task scheduling for initial or recurring execution of malicious...

Связанные защитные меры

Название Дата Влияние
Community
18 10 / 86
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 86
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности