Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Карточка риска

Риски Риск заражения вредоносным про...
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал
 
Угроза

Заражение вредоносным программным обеспечением

из-за уязвимости

Возможность посещения зараженного (вредоносного) сайта в сети Интернет

в Активе

Работник

1

Описание угрозы

Вирусное заражение или иначе заражение вредоносным программным обеспечением (ВПО) является наиболее обширным и актуальным видом угроз. Включает в себя выполнение злоумышленниками вредоносного кода или произвольных команд для управления или выполнения злонамеренных действий.

Описание уязвимости

Злоумышленник может получить доступ к системе через пользователя, посещающего зараженный веб-сайт используя уязвимости браузера пользователя.
Существует несколько способов доставки эксплойта в браузер:
  • Компрометация легитимного веб-сайта, когда злоумышленник внедряет в сайт ВПО через JavaScript, iFrames или межсайтовые сценарии (XSS).
  • Добавление вредоносной рекламы, которая оплачивается и размещается на сайте через легальных поставщиков рекламы.
  • Использование встроенных интерфейсов веб-приложений для вставки любого другого типа объектов содержащих ВПО.
Частным случаем реализации уязвимости является посещение легитимного но зараженного веб-сайта - атака watering hole.
Часто веб-сайт, используемый для атаки злоумышленником, посещается определенным сообществом и цель состоит в том, чтобы скомпрометировать конкретного пользователя или группу пользователей на основе общих интересов.
Злоумышленники также могут использовать скомпрометированные веб-сайты для доставки пользователю ВПО, предназначенного для кражи токенов доступа к приложениям, таких как токены OAuth, для получения доступа к защищенным приложениям и информации.

Описание типа актива

Физические лица, трудоустроенные в компанию по трудовому договору или договору о дистанционной работе. Примечание: лиц, осуществляющих взаимодействие с компанией по договору подряда, следует относить к категории подрядчиков.
Объекты атаки
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов. Целостность ? Целостность / integrity Свойство сохранения правильности и полноты активов. Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Искажение ? Искажение / Незаконное изменение / Tampering Вредоносное изменение данных, будь то данные в состоянии покоя (файлы, базы данных) или данные в процессе их переда... Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос... Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство... Повышение привилегий ? Повышение привилегий / Elevation of privilege Предоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений де...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.186 Угроза внедрения вредоносного кода через рекламу, сервисы и контент
Угроза заключается в возможности внедрения нарушителем в информационную систему вредоносного кода посредством рекламы, сервисов ...
УБИ.190 Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет
Угроза заключается в возможности осуществления нарушителем внедрения вредоносного кода в компьютер пользователя при посещении за...
Техники ATT@CK:
T1189 Drive-by Compromise ? Унаследовано от входящей в состав риска уязвимости
Adversaries may gain access to a system through a user visiting a website over the normal course of browsing. With this techniqu...

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстановительная Удерживающая Компенсирующая
Название Дата Влияние
Community
10 23 / 84
Централизация системы антивирусной защиты (АВЗ)
Разово Вручную Техническая Превентивная
31.05.2021 		31.05.2021 10 23 / 84
Цель: организовать централизованное управление АВЗ.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.

Рекомендации к заполнению карточки:
  • В приложении к защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
  • АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
  • Создать шаблон регулярной задачи по проверке работоспособности, обновления, контроля установки агентов АВЗ.
  • Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива.