Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Угроза
Потеря (уничтожение) данных
из-за уязвимости
Возможность отключения средств восстановления ОС
в Активе
ОС Windows
Описание угрозы
Потеря данных без возможности восстановления. По различным причинам, от выхода из строя оборудования и случайного стирания до целенаправленного уничтожения пользователем или внешним нарушителем.
Описание уязвимости
Операционные системы могут содержать подсистемы, которые исправляют и восстанавливают поврежденные элементы системы, например каталоги резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленник может отключить или удалить функции восстановления системы, чтобы попытаться предотвратить восстановление уничтоженных или зашифрованных данных.
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
- vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
- WMI Windows можно использовать для удаления теневых копий томов - wmic shadowcopy delete
- wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet
- bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Ключевая угроза
?
Объекты атаки
Информация
Классификация
КЦД:
Доступность
?
STRIDE:
Отказ в обслуживании
?
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внутренний нарушитель -
Низкий потенциал
?
Техногенный -
Низкий потенциал
?
Стихийный -
Низкий потенциал
?
Техники ATT@CK:
T1490
Inhibit System Recovery
Adversaries may delete or remove built-in operating system data and turn off services designed to aid in the recovery of a corru...
Связанные защитные меры
Ничего не найдено