Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Описание угрозы

Недоступность означает что сервис временно неработоспособен из сети Интернет. Недоступность сервиса не обязательно означает его уничтожение или поломку, недоступность может быть временным состоянием. Например, в результате атаки на отказ в обслуживании, повреждения каналов связи.

Описание уязвимости

Злоумышленник может попытаться вызвать отказ в обслуживании (DoS), напрямую отправив большой объем сетевого трафика. Прямой сетевой поток - это когда одна или несколько скомпрометированных ранее систем (ботнет) используются для отправки большого объема сетевых пакетов на внешний сервис или сеть жертвы. Для этого может использоваться практически любой сетевой протокол.
Большие ботнеты могут генерировать значительный объем трафика из систем, разбросанных по всему Интернету. Злоумышленник может иметь собственный ботнет или могут арендовать время в существующей ботнете для проведения атаки. В некоторых наихудших случаях для распределенной DoS (DDoS) атаки для генерации потока используется так много систем, что каждой из них достаточно отправить небольшое количество трафика, чтобы создать достаточный объем для насыщения целевой сети. В таких обстоятельствах отличить DDoS-трафик от легитимных клиентов становится чрезвычайно сложно.
Одними из способов усилить эффект от DDoS являются методы Reflection и Amplification.
Например при атаках DNS Reflection жертва подвергается массированным подложным ответам DNS. Для этого применяют ботнет, где каждый бот в такой сети генерирует несколько DNS-запросов на множество DNS серверов, но в качестве IP источника указывает один и тот же IP-адрес жертвы. Каждый DNS-сервис отвечает по этому IP-адресу жертвы, что приводит к отказу в обслуживании.
При атаке Amplification злоумышленник формирует запрос к промежуточному серверу таким образом, чтобы промежуточный сервер формировал пакеты существенно большего размера, чем были отправлены злоумышленником. Например ботнет отправил 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт), а каждый ответ от DNS сервера к узлу жертвы содержит 1 Кбайт, то жертва получает 100 Мбайт трафика.
Объединяя методы Reflection и Amplification злоумышленник может значительно усилить объем трафика.

Описание типа актива

Сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, как правило, вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными.
Ключевая угроза ? Высокоуровневая, бизнес угроза, возможный ущерб конкретен и понятен руководству и бизнес-подразделениям
Объекты атаки Публичный IP-адрес | SaaS
Классификация
КЦД: Доступность ? Доступность / availability Свойство быть доступным и готовым к использованию по запросу авторизованного субъекта.
STRIDE: Отказ в обслуживании ? Отказ в обслуживании / Denial of service Выход из строя активов или нарушение их работоспособности приводящее к невозможности использования. Защищаемое свойство...
Источники угрозы
Внешний нарушитель - Низкий потенциал ? Внешний нарушитель Находящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель...
Внутренний нарушитель - Низкий потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.140 Угроза приведения системы в состояние "отказ в обслуживании"
Угроза заключается в возможности отказа дискредитированной системой в доступе легальным пользователям при лавинообразном увеличе...
УБИ.153 Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов
Угроза заключается в возможности осуществления нарушителем опосредованного деструктивного программного воздействия на дискредити...
Техники ATT@CK:
T1498.001 Network Denial of Service: Direct Network Flood
Adversaries may attempt to cause a denial of service (DoS) by directly sending a high-volume of network traffic to a target.
T1498.002 Network Denial of Service: Reflection Amplification
Adversaries may attempt to cause a denial of service by reflecting a high-volume of network traffic to a target. This type of Ne...

Связанные защитные меры

Название Дата Влияние
Community
1 5 / 17
Блокировка обращений по черному списку рефереров средствами NGINX
Разово Техническая Превентивная Компенсирующая
09.03.2022
09.03.2022 1 5 / 17
Цель: снизить нагрузку на веб сервер заблокировав мусорные и спам обращения.
Реализация через конфигурацию NGINX.
1. Берем готовый файл конфигурации со списком плохих рефереров отсюда:
Примечание: Необходимо загрузить проект через git, либо в виде архива, затем использовать из него файл referral-spam.conf
Так стоит сделать, чтобы не сбилась оригинальная кодировка файла, т.к. там встречаются UTF-8 символы в названиях доменов.

2. Дополняем черный список по рекомендациям НКЦКИ
Источник: https://safe-surf.ru/specialists/news/676114/ 

3. Далее преобразуем список плохих рефереров в регулярные выражения, как это сделано в файле referral-spam.conf. Он получится таким:
# ukraine
"~*cyber\-yuzh\.com" 1;
"~*ukraine\.is\-great\.org" 1;
"~*stop\-russia\.rf\.gd" 1;
"~*stop\-russia\.synergize\.co" 1;
"~*fuck\-desinformation\.netlify\.app" 1;
"~*stop\-\-russian\-\-desinformation\-near\-page\.translate\.goog" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*stop\-russia\.great\-site\.net" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*slavaukraini\.000webhostapp\.com" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*fly\.freecluster\.eu" 1;
"~*ovh1\.vanagas\.tech" 1;
"~*freeanon\.xyz" 1;
"~*mwl\.vdl\.pl" 1;
"~*norussian\.tk" 1;
"~*dstat\.sorryy\.me" 1;
"~*jebacruskich\.page" 1;
"~*81g6bk\.csb\.app" 1;
"~*vug\.pl" 1;
"~*kaszaniok\.github\.io" 1;
"~*dildouslugi\.ga" 1;
Примечание: список на сайте НКЦКИ обновляется, следует брать список от туда.
Дополняем общий список нашим списком и сохраняем файл referral-spam.conf.

Добавить referral-spam.conf в /etc/nginx и включить его глобально в /etc/nginx/nginx.conf:

http {
    include referral-spam.conf;
}

Добавить следующие параметры в файлы конфигураций всех сайтов /etc/nginx/site-available/your-site.conf которые требуют защиты:

server {
    if ($bad_referer) {
        return 444;
    }
}

Т.е. кладем файл referral-spam.conf в папку /etc/nginx, подключаем его в файле /etc/nginx/nginx.conf. Далее в блоке server каждого сайта, который требуется защитить, добавляем возврат кода 444 при условии определения переменной $bad_referer.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на актуализацию черного списка рефереров