Cервис управления информационной безопасностью
Вход Регистрация
Главное меню

Карточка риска

Риски Риск заражения вредоносным про...
Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 
Угроза

Заражение вредоносным программным обеспечением

из-за уязвимости

Возможность подмены информации об IP адресах (фарминг)

в Активе

ОС Windows

2

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

Фарминг (pharming) - скрытное перенаправление пользователей на поддельные, фишинговые сайты путем подмены информации об IP адресах.
Фарминг реализуется следующими способами:
  • Изменение файла HOSTS
  • Изменение файла HOSTS вместе с изменением его местоположения
  • Модификация настроек DNS-серверов
  • Регистрация ложного DHCP-сервера

Описание типа актива

Microsoft Windows любых версий
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentialityCвойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrityCвойство сохранения правильности и полноты активов. Доступность ? Доступность / availabilityCвойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / TamperingВредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их передач... Раскрытие информации ? Раскрытие информации / Information disclosureРаскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальност... Отказ в обслуживании ? Отказ в обслуживании / Denial of serviceВыход из строя активов или нарушение их работоспособности приводящее к невозможности их использования. Защищаемое свойст... Повышение привилегий ? Повышение привилегий / Elevation of privilegeПредоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений дей...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушительНаходящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель д...
Внутрений нарушитель - Низкий потенциал ? Внутрений нарушительПод внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы. К внутренним...

Каталоги угроз

БДУ ФСТЭК:
УБИ.174 Угроза "фарминга" ? Унаследовано от входящей в состав риска уязвимости

Связанные риски

КЦД
STRIDE
Иное
Риск Угроза Уязвимость Тип актива Связи
Заражение вредоносным программным обеспечением из-за возможности подмены информации об IP адресах (фарминг) в DNS сервере
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Заражение вредоносным программным обеспечением
Доступность Конфиденциальность Отказ в обслуживании Повышение привилегий Раскрытие информации Целостность Искажение
Возможность подмены информации об IP адресах (фарминг) DNS сервер

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстанавливающая Удерживающая Компенсирующая
Название Дата Влияние
Community
10 22 / 13
Централизация системы антивирусной защиты (АВЗ)
Разово Вручную Превентивная Техническая
31.05.2021 		31.05.2021 10 22 / 13
В защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
Повторяющиеся задачи связанные с проверкой работоспособности, обновлением, контролем установки агентов АВЗ следует вынести в отдельные регулярные защитные меры.
Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива или регулярные защитные меры.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.
Community
2
Контроль целостности файла hosts
Ежедневно Автоматически Техническая Детективная
20.05.2021 		20.05.2021 2
hosts - файл в OС, содержащий базу данных доменных имен и используемый при их трансляции в сетевые адреса узлов. Запрос к этому файлу имеет приоритет перед обращением к DNS-серверам. Подробнее о файле hosts
Расположение для ОС Windows: %WinDir%\System32\Drivers\Etc
Возможно несанкционированное изменение содержимого файла, что может привести к подделке IP адресов для локальных и публичных узлов (фарминг).
Необходимо контролировать целостность файлов hosts в инфраструктуре. Для этого осуществлять их регулярный аудит на всех ПК/Серверах и автоматически уведомлять подразделение по информационной безопасности об изменениях в файлах hosts.
Возможны следующие варианты реализации защитной меры:
  1. С использованием сканера уязвимостей
  2. С использованием ПО для контроля целостности
  3. Скриптом (пример реализации в комментариях)