Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Карточка риска

Риски Риск заражения вредоносным про...
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал
 
Угроза

Заражение вредоносным программным обеспечением

из-за уязвимости

Возможность подмены информации об IP адресах (фарминг)

в Активе

ОС Windows

2

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

Фарминг (pharming) - скрытное перенаправление пользователей на поддельные, фишинговые сайты путем подмены информации об IP адресах.
Фарминг реализуется следующими способами:
  • Изменение файла HOSTS
  • Изменение файла HOSTS вместе с изменением его местоположения
  • Модификация настроек DNS-серверов
  • Регистрация ложного DHCP-сервера

Описание типа актива

Microsoft Windows любых версий
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrity Свойство сохранения правильности и полноты активов. Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / Tampering Вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их переда... Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос... Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство... Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.174 Угроза "фарминга" ? Унаследовано от входящей в состав риска уязвимости
Угроза заключается в возможности неправомерного ознакомления нарушителем с защищаемой информацией (в т.ч. идентификации/аутентиф...

Связанные риски

КЦД
STRIDE
Иное
Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности подмены информации об IP адресах (фарминг) в DNS сервере
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность подмены информации об IP адресах (фарминг) DNS сервер

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстановительная Удерживающая Компенсирующая
Название Дата Влияние
Community
10 23 / 84
Централизация системы антивирусной защиты (АВЗ)
Разово Вручную Техническая Превентивная
31.05.2021 		31.05.2021 10 23 / 84
Цель: организовать централизованное управление АВЗ.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.

Рекомендации к заполнению карточки:
  • В приложении к защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
  • АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
  • Создать шаблон регулярной задачи по проверке работоспособности, обновления, контроля установки агентов АВЗ.
  • Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива.
Community
2 1 / 19
Контроль целостности файла hosts
Ежедневно Автоматически Техническая Детективная
20.05.2021 		20.05.2021 2 1 / 19
Цель: предотвращение подделки злоумышленником доменных имен.

hosts - файл в OС, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. Подробнее о файле hosts
Расположение для ОС Windows: %WinDir%\System32\Drivers\Etc
Возможно несанкционированное изменение содержимого файла, что может привести к подделке IP адресов для локальных и публичных узлов (фарминг).
Необходимо контролировать целостность файлов hosts в инфраструктуре. Для этого осуществлять их регулярный аудит на всех ПК/Серверах и автоматически уведомлять подразделение по информационной безопасности об изменениях в файлах hosts.
Возможны следующие варианты реализации защитной меры:
  1. С использованием сканера уязвимостей
  2. С использованием ПО для контроля целостности
  3. Скриптом (пример реализации в комментариях)
    В заметке приведен пример скрипта для контроля файлов hosts
Инструкция
При поступлении уведомления об изменениях в файле hosts необходимо:
  1. Проанализировать изменения
  2. Если изменения носят вредоносный характер:
    1. Провести антивирусную проверку хоста
    2. Выявить источник изменений
    3. Удалить изменения или заменить файл hosts на типовой
  3. Если изменения сделаны для обеспечения рабочего процесса - добавить изменение в исключения чтобы убрать ложные сработки в будущем.
Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи по контролю изменений файла hosts;
  • Создать эталонный файл и прикрепить его в заметке к защитной мере.