|
Модель угроз. Утверждена приказом ау
Перечень основных тактик и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации
№
| Тактика
| Основные техники
| Т1
| Сбор информации о системах и сетях
| T1.1 Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети,
фотобанки, сайты поставщиков и вендоров, материалы конференций
| T1.2 Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного
обеспечения сервисов и приложений
| T1.3 Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации
сетевых служб, типов и версий ПО этих служб и в некоторых случаях – идентификационной информации пользователей
| T1.4 Направленное сканирование при помощи специализированного программного обеспечения подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий программного обеспечения этих сервисов, а также
с целью получения конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений
| Т1.5 Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений путем поиска и эксплуатации
уязвимостей подключенных к сети устройств
| Т1.6 Сбор информации о пользователях, устройствах, приложениях, авторизуемых сервисами вычислительной сети,
путем перебора
| Т1.7 Сбор информации, предоставляемой DNS сервисами, включая DNS Hijacking
| Т1.8 Сбор информации о пользователе при посещении им веб-сайта, в том числе с использованием уязвимостей
программы браузера и надстраиваемых модулей браузера
| Т1.9 Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах,
каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей.
| Т1.10 Кража цифровых сертификатов, включая кражу физических токенов, либо неавторизованное выписывание новых
сертификатов (возможно после компрометации инфраструктуры доменного регистратора или аккаунта администратора зоны на стороне жертвы)
|
№
| Тактика
| Основные техники
|
|
| Т1.11 Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и
сетей путем применения социальной инженерии, в том числе фишинга
| Т1.12 Сбор личной идентификационной информации (идентификаторы пользователей, устройств, информация об идентификации пользователей сервисами, приложениями, средствами удаленного доступа), в том числе сбор
украденных личных данных сотрудников и подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе и за ее пределами
| Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения
| Т1.14 Сбор информации через получение контроля над личными устройствами сотрудников (смартфонами,
планшетами, ноутбуками) для скрытой прослушки и видеофиксации
| Т1.15 Поиск и покупка баз данных идентификационной информации, скомпрометированых паролей и ключей на
специализированных нелегальных площадках
| Т1.16 Сбор информации через получение доступа к базам данных результатов проведенных инвентаризаций, реестрам
установленного оборудования и ПО, данным проведенных аудитов безопасности, в том числе через получение доступа к таким данным через компрометацию подрядчиков и партнеров
| Т1.17 Пассивный сбор и анализ данных телеметрии для получения информации о технологическом процессе,
технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах
| Т1.18 Сбор и анализ данных о прошивках устройств, количестве и подключении этих устройств, используемых промышленных протоколах для получения информации о технологическом процессе, технологических установках,
системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах
| Т1.19 Сбор и анализ специфических для отрасли или типа предприятия характеристик технологического процесса для получения информации о технологических установках, системах и ПО на предприятиях в автоматизированных системах
управления производственными и технологическими процессами, в том числе на критически важных объектах
| Т1.20 Техники конкурентной разведки и промышленного шпионажа для сбора информации о технологическом
процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектах
| T1.21 Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации
компонентов систем и сетей, программного обеспечения сервисов и приложений путем анализа и обобщения информации перехватываемой в сети передачи информации
|
№
| Тактика
| Основные техники
|
|
| T1.22 Поиск и покупка специализированного программного обеспечения (вредоносного кода) на специализированных
нелегальных площадках
| Т2
| Получение первоначального доступа к
компонентам систем и сетей
| Т2.1 Использование внешних сервисов организации в сетях публичного доступа (Интернет)
| Т2.2 Использование устройств, датчиков, систем, расположенных на периметре или вне периметра физической защиты
объекта, для получения первичного доступа к системам и компонентам внутри этого периметра
| Т2.3 Эксплуатация уязвимостей сетевого оборудования и средств защиты вычислительных сетей для получения доступа
к компонентам систем и сетей при удаленной атаке
| Т2.4 Использование ошибок конфигурации сетевого оборудования и средств защиты, в том числе слабых паролей и
паролей по умолчанию, для получения доступа к компонентам систем и сетей при удаленной атаке
| Т2.5 Эксплуатация уязвимостей компонентов систем и сетей при удаленной или локальной атаке
| Т2.6 Использование недокументированных возможностей программного обеспечения сервисов, приложений,
оборудования, включая использование отладочных интерфейсов, программных, программно-аппаратных закладок
| Т2.7 Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации
вредоносных функций
| Т2.8 Использование методов социальной инженерии, в том числе фишинга, для получения прав доступа к компонентам
системы
| Т2.9 Несанкционированное подключение внешних устройств
| Т2.10 Несанкционированный доступ путем подбора учетных данных сотрудника или легитимного пользователя
(методами прямого перебора, словарных атак, паролей производителей по умолчанию, использования одинаковых паролей для разных учетных записей, применения «радужных» таблиц или другими)
| Т2.11 Несанкционированный доступ путем компрометации учетных данных сотрудника организации, в том числе через
компрометацию многократно используемого в различных системах пароля (для личных или служебных нужд)
| Т2.12 Использование доступа к системам и сетям, предоставленного сторонним организациям, в том числе через взлом инфраструктуры этих организаций, компрометацию личного оборудования сотрудников сторонних организаций,
используемого для доступа
| Т2.13 Реализация атаки типа «человек посередине» для осуществления доступа, например, NTLM/SMB Relaying атаки
| Т2.14 Доступ путем эксплуатации недостатков систем биометрической аутентификации
| |
|
|