методичка. Федеральная служба по техническому и экспортному контролю (фстэк россии)

33
№
Уровень
возможностей
нарушителей
Возможности нарушителей по реализации угроз безопасности
информации
поставки программного обеспечения или программно-аппаратных средств.
Имеет возможность создания методов и средств реализации угроз с привлечением специализированных научных организаций и реализации угроз с применением специально разработанных средств, в том числе обеспечивающих скрытное проникновение.
Имеет возможность реализовывать угрозы с привлечением специалистов, имеющих базовые повышенные, средние и высокие возможности.
Имеет возможность создания и применения специальных технических средств для добывания информации (воздействия на информацию или технические средства), распространяющейся в виде физических полей или явлений.
Имеет возможность долговременно и незаметно для операторов систем и сетей реализовывать угрозы безопасности информации.
Обладает исключительными знаниями и практическими навыками о функционировании систем и сетей, операционных систем, аппаратном обеспечении, а также осведомлены о конкретных защитных механизмах, применяемых в программном обеспечении, программно-аппаратных средствах атакуемых систем и сетей
Таким образом, нарушители с высокими возможностями
(потенциалом)
имеют
практически
неограниченные
возможности реализовывать сценарии угроз и компьютерные
атаки, в том числе с использованием недекларированных
возможностей,
программных,
программно-аппаратных
закладок, встроенных в компоненты систем и сетей
5.7. По результатам определения источников угроз безопасности информации и оценки возможностей нарушителей должны быть установлены: а) источники угроз безопасности информации; б) возможные цели реализации угроз безопасности информации нарушителями; в) категории и виды нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы (актуальные нарушители); г) возможности каждого вида нарушителей по реализации угроз безопасности информации в соответствии с имеющимися для этого условиями.

34
6. ОПРЕДЕЛЕНИЕ СЦЕНАРИЕВ РЕАЛИЗАЦИИ УГРОЗ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ
6.1. Возможность реализации угрозы безопасности информации определяется наличием хотя бы одного сценария ее реализации.
Для построения эффективной системы защиты систем и сетей необходимо определение максимально возможного количества сценариев реализации угроз безопасности информации, реализуемых актуальными нарушителями, исходя из имеющихся у них для этого условий.
6.2. Определение сценариев реализации угроз безопасности информации предусматривает установление совокупности всех возможных тактик и техник
(способов), применяемых нарушителями для неправомерного доступа и (или) воздействий на информационные ресурсы и компоненты систем и сетей.
Основные тактики и соответствующие им техники (способы), использование которых возможно нарушителем при реализации угроз безопасности информации, приведены в таблице 4.
Таблица 4
№
Тактика (тактическая задача)
Основные техники (способы)
(технические действия)
Т1
Сбор информации о системах и сетях
Т1.1. Сбор информации об идентификаторах
(логинах) пользователей
Т1.2. Сканирование сетевых служб с целью определения уязвимостей, имеющих эксплойты или иные техники использования уязвимостей
Т1.3. Поиск информации в файлах и каталогах, включая хэши паролей учётных записей
Т1.4. Сбор инвентаризационной информации о компонентах систем и сетей
Т1.5. Сбор конфигурационной информации о компонентах систем и сетей с целью выявления небезопасных конфигураций
Т2
Получение первоначального доступа к компонентам систем и сетей
Т2.1. Эксплуатация уязвимостей общедоступных компонентов систем и сетей с целью получения непосредственного доступа или внедрения средств получения аутентификационной информации (например, кейлогеров)
Т2.2. Использование методов социальной инженерии
Т2.3. Несанкционированное подключение внешних устройств

35
№
Тактика (тактическая задача)
Основные техники (способы)
(технические действия)
Т2.4. Использование доступа к системам и сетям, предоставленного сторонним организациям
Т2.5. Использование доверенного доступа третьей доверенной стороны (поставщики ИТ- услуг, поставщики услуг безопасности)
Т2.6. Подбор (методами прямого перебора, словарных атак, паролей производителей по умолчанию, рассеивания пароля, применения
«радужных» таблиц) или компрометация легитимных учетных данных
Т2.7. Использование программных, программно-аппаратных закладок
Т2.8. Дарение носителей информации
(например, флэш), содержащих вредоносное программное обеспечение
Т3
Внедрение и исполнение вредоносного программного обеспечения в системах и сетях
Т3.1. Запуск исполняемых скриптов и файлов
Т3.2. Перенос вредносного кода через общие области памяти
Т3.3. Выполнение кода через различного рода загрузчики
Т3.4. Выполнение кода с помощью эксплоитов
Т3.5. Подключение и запуск кода через интерфейсы удаленного управления
Т3.6. Подмена легитимных программ и библиотек
Т3.7. Создание скрипта при помощи доступного инструментария
Т3.8. Запуск программ через планировщики и методы проксирования
Т3.9. Подмена легитимных программ и библиотек под видом удалённых обновлений с портала производителя
Т3.10. Подмена дистрибутивов
(установочных комплектов) программ
Т4
Закрепление (сохранение доступа) в системе или сети
Т4.1. Несанкционированное создание учетных записей или кража существующих учетных данных
Т4.2. Скрытая установка и запуск средств удаленного доступа
Т4.3. Внесение в конфигурацию атакуемой системы или сети изменений, с помощью которых становится возможен многократный запуск вредоносного кода
Т4.4. Маскирование подключённых устройств под легитимные
(например, нанесение корпоративного логотипа, инвентарного номера, телефона службы поддержки)

36
№
Тактика (тактическая задача)
Основные техники (способы)
(технические действия)
Т4.5. Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий, обеспечивающих запуск вредоносного программного обеспечения при перезагрузке системы или сети
Т5
Управление вредоносным программным обеспечением и
(или) компонентами, к которым ранее был получен доступ
Т5.1. Управление через стандартные протоколы (например, RDP, SSH)
Т5.2. Управление через съемные носители
Т5.3. Проксирование трафика управления
Т5.4. Запасные и многоступенчатые каналы
Т5.5. Использование штатных средств удаленного доступа и управления
Т5.6. Туннелирование трафика управления в легитимные протоколы (например, DNS)
Т5.7. Управление через подключённые устройства
Т6
Повышение привилегий по доступу компонентам систем и сетей
Т6.1. Подмена учетных данных
Т6.2. Кража/перехват учетных данных
Т6.3. Подбор параметров учетных данных
Т6.4. Компрометация (захват) со стороны скомпрометированного компонента иных компонентов систем и сетей (например, AD), позволяющих повысить полномочия
Т7
Сокрытие действий и применяемых при этом средств от обнаружения
Т7.1. Очистка/затирание истории команд и журналов регистрации
Т7.2. Подписание кода
Т7.3. Манипуляции параметрами доступа
(запуска процессов)
Т7.4. Подмена прошивок
Т7.5. Установление ложных доверенных отношений
Т7.6. Отключение средств защиты
(например, механизмов аудита, консолей оператора мониторинга)
Т7.7. Удаление файлов
Т7.8. Создание скрытых файлов/пользователей
Т7.9. Модификация вредоносного программного обеспечения для удаления идентификаторов
Т7.10. Маскировка вредоносного программного обеспечения под легитимные компоненты
Т7.11. Обфускация файлов или информации
Т7.12. Туннелирование управляющего трафика в легитимные протоколы
Т7.13. Шифрование управляющего трафика
Т7.14. Организация
DoS-атак для невозможности получения журналов регистрации

37
№
Тактика (тактическая задача)
Основные техники (способы)
(технические действия)
Т7.15. Перенаправление журналов аудита
(например, syslog) в нецелевую систему
Т7.16. Организация переполнения хранилищ большим объёмом «мусорной» информации для невозможности дальнейшей записи событий аудита
Т8
Получение доступа
(распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям
Т8.1. Применение эксплойтов
Т8.2. Использование средств и интерфейсов удаленного управления
Т8.3. Использование механизмов дистанционной установки
Т8.4. Удаленное копирование файлов
Т8.5. Использование съемных носителей
Т8.6. Итерация (повторение) техник из тактик №№ 1-3
Т9
Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
Т9.1. Туннелирование выводимой информации в легитимные протоколы
(например, DNS)
Т9.2. Отправка данных по протоколам управления и функционирования
Т9.3. Отправка данных по собственным протоколам
Т9.4. Отправка данных через альтернативную среду
Т9.5. Шифрование выводимой информации
Т9.6. Вывод информации через разрешённые на периметровых средствах защиты стандартные tcp/udp-порты (например, tcp/80)
Т10
Неправомерный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящее к негативным последствиям
Т10.1. Доступ к памяти
Т10.2. Доступ к системному программному обеспечению
Т10.3. Доступ к прикладному программному обеспечению
Т10.4. Права в приложение
Т10.5. Локальный доступ
Т10.6. Подмена информации
(например, платёжных реквизитов)
Т10.7. Уничтожение информации
Т10.8. Добавление информации (например, дефейсинг корпоративного портала, публикация ложной новости)
Т10.9. Организация отказа в обслуживании
Т10.10. Организация майнинговой платформы, или платформы для осуществления атак на смежные
(взимодействующие) системы и сети
(например, DoS-атаки, подбор паролей)

38
При моделировании угроз безопасности информации проводится оценка возможности реализации нарушителем тактик и соответствующих им техник
(способов), приведенных в таблице 4, и иных тактик и техник, включенных в банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru) или иные доступные базы данных компьютерных атаках.
При выявлении новых угроз безопасности информации или новых сценариев реализации существующих угроз, которые не приведены в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), рекомендуется направлять информацию о вновь выявленных тактиках и техниках реализации угроз безопасности информации в ФСТЭК России для актуализации банка данных угроз.
6.4. Сценарии реализации конкретных угроз безопасности информации могут не содержать все тактики и техники (способы), а предусматривать применение только отдельных из них, требуемых для успешной реализации угроз безопасности информации. Отдельные тактики и техники (способы) и их последовательность, используемые нарушителем при реализации угроз безопасности информации, могут повторяться.
6.5. При определении тактик и техник (способов), которые могут быть задействованы нарушителем при реализации угроз безопасности информации, должны быть учтены типы доступа к компонентам систем и сетей, которыми может обладать нарушитель. Тип доступа определяет начальные тактики Т1 и Т2 сценариев реализации угроз безопасности.
6.6. В зависимости от категории, вида и возможностей нарушителей при реализации угроз безопасности информации тактики и техники (способы) могут быть реализованы на следующих уровнях:
Пример 8: 1) для успешной реализации угрозы отказа в облуживании
достаточно исследовать атакуемую информационную систему с целью
получения сведений о ее архитектуре, телекоммуникационном оборудовании
и используемых сетевых протоколах. В этом случае повышать привилегии и
обходить систему защиты информации не требуется; 2) нарушитель нашел
несколько уязвимостей и пытается их эксплуатировать разными способами
и с использованием разных средств, и успешной оказывается только третья
попытка

39
на аппаратном уровне (объектами воздействия могут являться встраиваемое программное обеспечение, интегральные микросхемы, электрические схемы и цепи, интерфейсы аппаратного обеспечения, данные, иные компоненты); на системном уровне (объектами воздействия могут являться гипервизоры, операционные системы, иные программы с системными привилегиями, информация, иные компоненты); на прикладном уровне (объектами воздействия могут являться системы управления базами данных, браузеры, web-приложения, иные прикладные программы, информация, иные компоненты); на сетевом уровне
(объектами воздействия могут являться телекоммуникационное оборудование, линии связи, протоколы, иные компоненты); на уровне сервисов (объектами воздействия являются пользователи, web- интерфейсы, информация, иные компоненты).
6.7. При моделировании непреднамеренных угроз безопасности информации определение сценариев возникновения угроз безопасности информации заключается в выявлении событий, наступление которых может способствовать реализации неправомерных действий в отношении систем и сетей и их компонентов. В этом случае исключаются действия нарушителя, связанные с преднамеренным воздействием на информационные ресурсы и компоненты систем и сетей.
6.8. По результатам определения сценариев реализации угроз безопасности информации для каждой i-ой угрозы безопасности информации (УБИ
i
) формируется перечень возможных сценариев j ее реализации. Одна угроза безопасности информации (УБИ
i
) может быть реализована j-м количеством сценариев ее реализации, отличающихся друг от друга компонентами или информационными ресурсами и видами неправомерного доступа или воздействий на них.
Пример 9: 1) нарушителями, обладающими базовыми возможностями,
используются техники, связанные с эксплуатацией общеизвестных
уязвимостей прикладного или системного уровней; 2) нарушителями,
обладающими высокими возможностями, могут использоваться техники,
связанные с эксплуатацией недекларированных возможностей в средствах
обработки и хранения информации

40
Сценарий реализации одной угрозы безопасности информации может включать сценарии реализации нескольких угроз безопасности информации, которые создают условия для реализации рассматриваемой угрозы.
Угроза безопасности информации (i) является актуальной, если имеется источник угрозы, условия для реализации угрозы, существует хотя бы один сценарий (j) ее реализации, а воздействие на информационные ресурсы или компоненты может привести к негативным последствиям.
УБИ
ij
= [источник угрозы; условия реализации, сценарий реализации угрозы j
; негативные последствия].
В качестве исходного перечня при идентификации угроз безопасности информации применяется банк данных угроз безопасности ФСТЭК России
(bdu.fstec.ru), типовые и базовые модели угроз безопасности информации для различных классов систем и сетей. Для определения угроз безопасности информации могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении, а также результаты специально проведенных исследований по выявлению угроз безопасности информации.
Пример определения сценариев реализации угроз безопасности информации приведен на рисунке 11.

41
Интернет
Нарушитель реализовал
SQL-инъекцию
Нарушитель отправил письмо с вредоносным файлом
Сайт
Периметр сети компании
Компьютер сотрудника
Сервер
Сервер
Сервер
Контроллер домена
Сервер
Периметр сети компании
ДМЗ
Эксплуатация уязвимостей
Учетная запись администратора домена
Серверный сегмент
Подбор пароля
Корпоративный сегмент
АРМ
АРМ
АРМ
АРМ
Сервисная учетная запись
Атака на протокол
Использовано вредоносное ПО
Получен доступ
Эксплуатация уязвимостей
Сегмент бухгалтерии
Сегмент топ-менджмента
Компьютеры бухгалтерии и финансовые системы
Компьютеры руководства
Административный сегмент
Компьютеры администраторов
Технологический сегмент
Системы управления и АРМ оператора
Программируемые логические контроллеры (ПЛК)
Полевые устройства и датчики
Получен доступ
Изменение конфигурации
Граничное сетевое оборудование
Перезапись регистров памяти ПЛК
Атака на промышленный протокол
Подмена прошивки
ПЛК
Подбор пароля
Следует недопустимый
ущерб репутации и
срыв соглашений
Следует недопустимый
ущерб экологии и