Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы:
управление рисками, контроль соответствия требованиям, учет активов,
планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
из-за уязвимости
Наличие технических (программных) уязвимостей
в Активе
Веб-сайт
Описание угрозы
Вне зависимости от типа публичного сервиса
Описание уязвимости
Любые технические уязвимости (CVE) программного обеспечения, а так же уязвимости протоколов и стандартов.
По терминологии MITRE CVE уязвимость это состояние вычислительной системы (или нескольких систем), которое позволяет:
По терминологии MITRE CVE уязвимость это состояние вычислительной системы (или нескольких систем), которое позволяет:
- исполнять команды от имени другого пользователя;
- получать доступ к информации, закрытой от доступа для данного пользователя;
- показывать себя как иного пользователя или ресурс;
- производить атаку типа «отказ в обслуживании».
Описание типа актива
Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Классификация
Иное:
НСД
?
Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внешний нарушитель -
Низкий потенциал
?
Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы.
Для реализации угроз в информационной системе внешний нарушитель...
БДУ ФСТЭК:
УБИ.159
Угроза "форсированного веб-браузинга"
Угроза заключается в возможности получения нарушителем доступа к защищаемой информации, выполнения привилегированных операций ил...
УБИ.192
Угроза использования уязвимых версий программного обеспечения
?
Унаследовано от входящей в состав риска уязвимости
Угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путём эксплуатации уязвимостей ...
Техники ATT@CK:
T1190
Exploit Public-Facing Application
Adversaries may attempt to take advantage of a weakness in an Internet-facing computer or program using software, data, or comma...
Связанные риски
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
4
|
Настройка безопасных заголовков для web сайта
Разово
Вручную
Техническая
Превентивная
10.09.2020
|
06.05.2021 | 4 |