Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Потеря данных без возможности восстановления. По различным причинам, от выхода из строя оборудования и случайного стирания до целенаправленного уничтожения пользователем или внешним нарушителем.

Описание уязвимости

Операционные системы могут содержать подсистемы, которые исправляют и восстанавливают поврежденные элементы системы, например каталоги резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленник может отключить или удалить функции восстановления системы, чтобы попытаться предотвратить восстановление уничтоженных или зашифрованных данных.
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
  • vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
  • WMI Windows можно использовать для удаления теневых копий томов - wmic shadowcopy delete
  • wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet
  • bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Описание типа актива

Microsoft Windows любых версий
Область действия: Вся организация
Ключевая угроза ?
Объекты атаки Информация
Классификация
КЦД: Доступность ?
STRIDE: Отказ в обслуживании ?
Источники угрозы
Внешний нарушитель - Низкий потенциал ?
Внутренний нарушитель - Низкий потенциал ?
Техногенный - Низкий потенциал ?
Стихийный - Низкий потенциал ?

Каталоги угроз

Техники ATT@CK:
T1490 Inhibit System Recovery
Adversaries may delete or remove built-in operating system data and turn off services designed to aid in the recovery of a corru...

Связанные защитные меры

Ничего не найдено