Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Потеря данных без возможности восстановления. По различным причинам, от выхода из строя оборудования и случайного стирания до целенаправленного уничтожения пользователем или внешним нарушителем.

Описание уязвимости

Операционные системы могут содержать подсистемы, которые исправляют и восстанавливают поврежденные элементы системы, например каталоги резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленник может отключить или удалить функции восстановления системы, чтобы попытаться предотвратить восстановление уничтоженных или зашифрованных данных.
Злоумышленник может использовать утилиты Windows для отключения или удаления функций восстановления системы:
  • vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet
  • WMI Windows можно использовать для удаления теневых копий томов - wmic shadowcopy delete
  • wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet
  • bcdedit.exe может использоваться для отключения функций автоматического восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no

Описание типа актива

Microsoft Windows любых версий
Ключевая угроза ? Высокоуровневая, бизнес угроза, возможный ущерб конкретен и понятен руководству и бизнес-подразделениям
Объекты атаки Информация
Классификация
КЦД: Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...
Техногенный - Низкий потенциал ? Техногенный Угрозы, определяемые технократической деятельностью человека, существуют сами по себе и зависят от свойств техники.
Стихийный - Низкий потенциал ? Стихийный Группа стихийных источников угроз объединяет обстоятельства, составляющие непреодолимую силу, то есть такие обстоятельства, которые носят объективный...

Каталоги угроз

Техники ATT@CK:
T1490 Inhibit System Recovery
Adversaries may delete or remove built-in operating system data and turn off services designed to aid in the recovery of a corru...

Связанные защитные меры

Ничего не найдено