|
|
Модель угроз. Утверждена приказом ау
№
|
Тактика
|
Основные техники
|
Т8
|
Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям
|
Т8.1 Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного выполнения
программного кода для распространения доступа
|
Т8.2 Использование средств и интерфейсов удаленного управления для получения доступа к смежным системам и сетям
|
Т8.3 Использование механизмов дистанционной установки программного обеспечения и конфигурирования
|
Т8.4 Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные
программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям
|
Т8.5 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси- соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления
сетевыми устройствами
|
Т8.6 Копирование вредоносного кода на съемные носители
|
Т8.7 Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
|
Т8.8 Использование доверенных отношений скомпрометированной системы и пользователей этой системы с другими системами и пользователями для распространения вредоносного программного обеспечения или для доступа к системам
и информации в других системах и сетях
|
Т9
|
Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
|
Т9.1 Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления (например,
RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования
|
Т9.2 Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного
доступа и управления операционной системы
|
Т9.3 Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране
(SMTP/25, HTTP/80, HTTPS/443 и др.)
|
Т9.4 Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет
эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
|
Т9.5 Отправка данных по известным протоколам управления и передачи данных
|
Т9.6 Отправка данных по собственным протоколам
|
Т9.7 Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на
межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика передачи данных во избежание обнаружения
|
Т9.8 Туннелирование трафика передачи данных через VPN
|
Т9.9 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
|
№
|
Тактика
|
Основные техники
|
|
|
Т9.10 Вывод информации через съемные носители, в частности, передача данных между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих
системах
|
Т9.11 Отправка данных через альтернативную среду передачи данных
|
Т9.12 Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информации
|
Т9.13 Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре
скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для аутентификации и авторизации имеющихся учетных записей
|
Т9.14 Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного
нарушителя (форумы, файлообменные сервисы, фотобанки, облачные сервисы, социальные сети)
|
Т10
|
Несанкционирован ный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей,
приводящие к негативным последствиям
|
Т10.1 Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях,
в программных модулях и прошивках
|
Т10.2 Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры
доступа
|
Т10.3 Несанкционированное воздействие на программные модули прикладного программного обеспечения
|
Т10.4 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прикладного
программного обеспечения
|
Т10.5 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа системного
программного обеспечения
|
Т10.6 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прошивки
устройства
|
Т10.7 Подмена информации (например, платежных реквизитов) в памяти или информации, хранимой в виде файлов,
информации в базах данных и репозиториях, информации на неразмеченных областях дисков и сменных носителей
|
Т10.8 Уничтожение информации, включая информацию, хранимую в виде файлов, информацию в базах данных и
репозиториях, информацию на неразмеченных областях дисков и сменных носителей
|
Т10.9 Добавление информации (например, дефейсинг корпоративного портала, публикация ложной новости)
|
Т10.10 Организация отказа в обслуживании одной или нескольких систем, компонентов системы или сети
|
Т10.11 Нецелевое использование ресурсов системы
|
Т10.12 Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или
нарушения функций управления, в том числе на АСУ критически важных объектов, потенциально опасных объектов,
|
№
|
Тактика
|
Основные техники
|
|
|
объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды,
в том числе опасных производственных объектов
|
Т10.13 Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или поломки оборудования, в том числе АСУ критически важных объектов, потенциально опасных объектов, объектов,
представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов
|
Т10.14 Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности, в том числе критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для
окружающей природной среды, в том числе опасных производственных объектов
|
Т10.15 Воздействие на информационные ресурсы через системы распознавания визуальных, звуковых образов, системы геопозиционирования и ориентации, датчики вибрации, прочие датчики и системы преобразования сигналов физического мира в цифровое представление с целью полного или частичного вывода системы из строя или
несанкционированного управления системой
| |
|
|
Скачать 1.31 Mb.