|
|
Модель угроз. Утверждена приказом ау
№
|
Тактика
|
Основные техники
|
|
компонентам систем и сетей
|
Т6.2 Подбор пароля или другой информации для аутентификации от имени привилегированной учетной записи
|
Т6.3 Эксплуатация уязвимостей ПО к повышению привилегий
|
Т6.4 Эксплуатация уязвимостей механизма имперсонации (запуска операций в системе от имени другой учетной записи)
|
Т6.5 Манипуляции с идентификатором сессии, токеном доступа или иным параметром, определяющим права и полномочия пользователя в системе таким образом, что новый или измененный идентификатор/токен/параметр дает
возможность выполнения ранее недоступных пользователю операций
|
Т6.6 Обход политики ограничения пользовательских учетных записей в выполнении групп операций, требующих
привилегированного режима
|
Т6.7 Использование уязвимостей конфигурации системы, служб и приложений, в том числе предварительно сконфигурированных профилей привилегированных пользователей, автоматически запускаемых от имени
привилегированных пользователей скриптов, приложений и экземпляров окружения, позволяющих вредоносному ПО выполняться с повышенными привилегиями
|
Т6.8 Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем доступа к некоторым
ресурсам (например, к файловой системе) для непривилегированных учетных записей
|
Т6.9 Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины, песочницы и т.п.) для
исполнения кода вне этой среды
|
Т7
|
Сокрытие действий и применяемых при этом средств от обнаружения
|
Т7.1 Использование нарушителем или вредоносной платформой штатных инструментов администрирования, утилит и
сервисов операционной системы, сторонних утилит, в том числе двойного назначения
|
Т7.2 Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации,
переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователей
|
Т7.3 Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителей
|
Т7.4 Отключение средств защиты от угроз информационной безопасности, в том числе средств антивирусной защиты,
механизмов аудита, консолей оператора мониторинга и средств защиты других типов
|
Т7.5 Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления
технологическими процессами и управляемого (контролируемого) объекта и (или) процесса
|
Т7.6 Подделка данных вывода средств защиты от угроз информационной безопасности
|
Т7.7 Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств
мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности,
|
№
|
Тактика
|
Основные техники
|
|
|
иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса, данных видеонаблюдения и других визуально или автоматически
интерпретируемых данных
|
Т7.8 Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут использоваться
для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атаки
|
Т7.9 Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО
для подписания вредоносных программных модулей
|
Т7.10 Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не
подвергаются анализу на наличие такого кода, для предотвращения обнаружения
|
Т7.11 Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его
обнаружения в системе
|
Т7.12 Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности
|
Т7.13 Создание скрытых файлов, скрытых учетных записей
|
Т7.14 Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной
валидации вредоносных программных модулей и авторизации внешних сервисов
|
Т7.15 Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы,
удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об используемых при атаке уязвимостях и обнаружения факта атаки
|
Т7.16 Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во
избежание преждевременного обнаружения факта атаки
|
Т7.17 Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и
данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сети
|
Т7.18 Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств
обнаружения в операционной системе
|
Т7.19 Туннелирование трафика управления через VPN
|
Т7.20 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
|
№
|
Тактика
|
Основные техники
|
|
|
Т7.21 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси- соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления
сетевыми устройствами
|
Т7.22 Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисков
|
Т7.23 Подмена файлов легитимных программ и библиотек непосредственно в системе
|
Т7.24 Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения,
поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи
|
Т7.25 Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях, включая
атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями
|
Т7.26 Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых
ресурсах
|
Т7.27 Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования
криптографических ключей, хранения и управления цифровыми сертификатами
|
Т7.28 Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного
внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системы
|
Т7.29 Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров), в инфраструктуре целевой системы, для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на
целевые для нарушителя системы
|
Т8
|
Получение доступа (распространение доступа) к другим компонентам систем и сетей или
|
Т8.1 Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного выполнения
программного кода для распространения доступа
|
Т8.2 Использование средств и интерфейсов удаленного управления для получения доступа к смежным системам и сетям
|
Т8.3 Использование механизмов дистанционной установки программного обеспечения и конфигурирования
|
Т8.4 Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные
программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетям
|
№
|
Тактика
|
Основные техники
|
|
смежным системам и сетям
|
Т8.5 Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси- соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления
сетевыми устройствами
|
Т8.6 Копирование вредоносного кода на съемные носители
|
Т8.7 Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сети
|
Т8.8 Использование доверенных отношений скомпрометированной системы и пользователей этой системы с другими
системами и пользователями для распространения вредоносного программного обеспечения или для доступа к системам и информации в других системах и сетях
|
Т9
|
Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
|
Т9.1 Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления (например,
RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования
|
Т9.2 Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного
доступа и управления операционной системы
|
Т9.3 Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране
(SMTP/25, HTTP/80, HTTPS/443 и др.)
|
Т9.4 Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет
эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
|
Т9.5 Отправка данных по известным протоколам управления и передачи данных
|
Т9.6 Отправка данных по собственным протоколам
|
Т9.7 Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и
разделение трафика передачи данных во избежание обнаружения
|
Т9.8 Туннелирование трафика передачи данных через VPN
|
Т9.9 Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру,
туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
|
Т9.10 Вывод информации через съемные носители, в частности, передача данных между скомпрометированными
изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
|
Т9.11 Отправка данных через альтернативную среду передачи данных
|
Т9.12 Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информации
|
№
|
Тактика
|
Основные техники
|
|
|
Т9.13 Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для
аутентификации и авторизации имеющихся учетных записей
|
Т9.14 Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного
нарушителя (форумы, файлообменные сервисы, фотобанки, облачные сервисы, социальные сети)
|
Т10
|
Несанкционирован ный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей,
приводящие к негативным последствиям
|
Т10.1 Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях,
в программных модулях и прошивках
|
Т10.2 Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры
доступа
|
Т10.3 Несанкционированное воздействие на программные модули прикладного программного обеспечения
|
Т10.4 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прикладного
программного обеспечения
|
Т10.5 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа системного
программного обеспечения
|
Т10.6 Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прошивки
устройства
|
Т10.7 Подмена информации (например, платежных реквизитов) в памяти или информации, хранимой в виде файлов,
информации в базах данных и репозиториях, информации на неразмеченных областях дисков и сменных носителей
|
Т10.8 Уничтожение информации, включая информацию, хранимую в виде файлов, информацию в базах данных и
репозиториях, информацию на неразмеченных областях дисков и сменных носителей
|
Т10.9 Добавление информации (например, дефейсинг корпоративного портала, публикация ложной новости)
|
Т10.10 Организация отказа в обслуживании одной или нескольких систем, компонентов системы или сети
|
Т10.11 Нецелевое использование ресурсов системы
|
Т10.12 Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или нарушения функций управления, в том числе на АСУ критически важных объектов, потенциально опасных объектов,
объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов
|
Т10.13 Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или
поломки оборудования, в том числе АСУ критически важных объектов, потенциально опасных объектов, объектов,
|
№
|
Тактика
|
Основные техники
|
|
|
представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе
опасных производственных объектов
|
Т10.14 Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности, в том числе критически важных объектов,
потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов
|
Т10.15 Воздействие на информационные ресурсы через системы распознавания визуальных, звуковых образов, системы геопозиционирования и ориентации, датчики вибрации, прочие датчики и системы преобразования сигналов физического мира в цифровое представление с целью полного или частичного вывода системы из строя или
несанкционированного управления системой
|
|
|
|
Скачать 1.31 Mb.