Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Карточка риска

Риски Риск несанкционированного дост...
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал
 
Угроза

Несанкционированный доступ к корпоративному публичному сервису из интернета

из-за уязвимости

Наличие технических (программных) уязвимостей

в Активе

Веб-сайт

1

Описание угрозы

Вне зависимости от типа публичного сервиса

Описание уязвимости

Любые технические уязвимости (CVE) программного обеспечения, а так же уязвимости протоколов и стандартов.
По терминологии MITRE CVE уязвимость это состояние вычислительной системы (или нескольких систем), которое позволяет:
  • исполнять команды от имени другого пользователя;
  • получать доступ к информации, закрытой от доступа для данного пользователя;
  • показывать себя как иного пользователя или ресурс;
  • производить атаку типа «отказ в обслуживании».

Описание типа актива

Веб-сайт это набор веб-страниц и связанного с ними контента, который идентифицируется общим доменным именем и публикуется по крайней мере на одном веб-сервере.
Все общедоступные веб-сайты вместе составляют всемирную паутину. Существуют также частные веб-сайты, к которым можно получить доступ только в частной сети, например, внутренний веб-сайт компании для ее сотрудников.
Веб-сайты обычно посвящены определенной теме или цели, например новостям, образованию, коммерции, развлечениям или социальным сетям. Гиперссылки между веб-страницами определяют навигацию по сайту, которая часто начинается с домашней страницы.
Пользователи могут получать доступ к веб-сайтам с различных устройств, включая настольные компьютеры, ноутбуки, планшеты и смартфоны. Программное обеспечение, используемое на этих устройствах, называется веб-браузером.
Объекты атаки Публичный IP-адрес | Веб-сайт
Классификация
Иное: НСД ? Несанкционированный доступ / Unauthorized access Доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа инф...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...

Каталоги угроз

БДУ ФСТЭК:
УБИ.159 Угроза "форсированного веб-браузинга"
Угроза заключается в возможности получения нарушителем доступа к защищаемой информации, выполнения привилегированных операций ил...
УБИ.192 Угроза использования уязвимых версий программного обеспечения ? Унаследовано от входящей в состав риска уязвимости
Угроза заключается в возможности осуществления нарушителем деструктивного воздействия на систему путём эксплуатации уязвимостей ...
Техники ATT@CK:
T1190 Exploit Public-Facing Application
Adversaries may attempt to take advantage of a weakness in an Internet-facing computer or program using software, data, or comma...

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстановительная Удерживающая Компенсирующая
Название Дата Влияние
Community
4
Настройка безопасных заголовков для web сайта
Разово Вручную Техническая Превентивная
10.09.2020 		06.05.2021 4
Цель: сокращение поверхности для сетевых атак.

Правильная настройка заголовков (headers) веб сервиса полностью или частично защищает его от ряда атак: XSS, CSRF, Clickjacking и иных.
Заголовки могут настраиваться на уровне сайта и/или веб сервера.
Сервис для проверки заголовков: https://securityheaders.com 
Перечень заголовков и параметров, которые следует настроить:
  1. X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options 
  2. X-XSS-Protection https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection 
  3. Content Security Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP 
  4. Server https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Server 
  5. X-Content-Type-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options 
  6. X-Download-Options https://msdn.microsoft.com/en-us/library/jj542450(v=vs.85).aspx 
  7. X-Permitted-Cross-Domain-Policies https://www.adobe.com/devnet/adobe-media-server/articles/cross-domain-xml-for-streaming.html 
  8. Referrer-Policy https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referrer-Policy 
  9. Clear-Site-Data https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Clear-Site-Data 
  10. HTTP Strict Transport Security https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security 
  11. Expect-CT https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT 
  12. Feature Policy (Permissions-Policy) https://w3c.github.io/webappsec-feature-policy 
  13. Set-Cookie (Secure, HttpOnly) https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies 
  14. X-Powered-By
Рекомендации к заполнению карточки:
  • Инструментом для реализации защитной меры следует указать конкретные защищаемые веб-сервисы, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.
  • В заметке к защитной мере привести инструкции по настройке заголовков используемых в организации веб-сервисов;
  • Создать шаблон регулярной задачи по проверке заголовков у веб-сервисов организации.