Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Вывод из строя компонентов операционной системы что ведет к неработоспособности как самой ОС так и расположенных на ней активов.

Описание уязвимости

Операционные системы могут содержать подсистемы, которые исправляют и восстанавливают поврежденные элементы системы, например каталоги резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленник может отключить или удалить функции восстановления системы, чтобы попытаться предотвратить восстановление уничтоженных или зашифрованных данных.
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
  • vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
  • WMI Windows можно использовать для удаления теневых копий томов - wmic shadowcopy delete
  • wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet
  • bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Операционная система
Классификация
КЦД: Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

Техники ATT@CK:
T1490 Inhibit System Recovery
Adversaries may delete or remove built-in operating system data and turn off services designed to aid in the recovery of a corru...

Связанные защитные меры

Ничего не найдено