May 6, 2021
Разбираемся в новой методике ФСТЭК в части анализа действующей БДУ ФСТЭК на предмет сценариев реализации угроз безопасности информации
05.02.2021 ФСТЭК выпустил новую методику оценки угроз "Методический документ. Методика оценки угроз безопасности информации" ( ссылка ) данная методика предполагает помимо прочего определение сценариев реализации угроз безопасности информации. В данном случае ФСТЭК использовал международный опыт в частности модели MITRE ATT&CK® .
Интересно было взять матрицу сценариев от MITRE ATT&CK®(Matrix for Enterprise) и попробовать разложить угрозы БДУ ФСТЭК в приведенные в матрице тактические задачи (назовем их так). Почти все угрозы удалось разложить по тактическим задачам упоминаемым в матрице. Всего в матрице 14 тактических задач злоумышленника при атаке на организацию, в моём вольном переводе это следующие тактические задачи:
Угрозы ФСТЭК могут осуществляться на различных этапах реализации атаки. Поэтому одна угроза ФСТЭК могла быть использована для реализации различных тактических задач. Некоторые угрозы напрямую не относятся к данным задачам и не были классифицированы.
| Рекогносцировка | Первоначальный доступ | Разработка ресурсов | Внедрение и исполнение вредоносного кода | Закрепление | Повышение привилегий | Обход защиты |
|---|---|---|---|---|---|---|
| Угроза получения предварительной информации об объекте защиты Угроза определения типов объектов защиты Угроза обнаружения хостов Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб | Угроза «форсированного веб-браузинга» Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL Угроза получения сведений о владельце беспроводного устройства Угроза подмены субъекта сетевого доступа Угроза некорректного использования функционала программного и аппаратного обеспечения Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг Угроза заражения DNS-кеша Угроза внедрения вредоносного кода через рекламу, сервисы и контент Угроза «фишинга» Угроза «фарминга» | Угроза программного сброса пароля BIOS Угроза преодоления физической защиты Угроза подмены доверенного пользователя Угроза подключения к беспроводной сети в обход процедуры аутентификации Угроза подбора пароля BIOS Угроза несанкционированного использования привилегированных функций BIOS Угроза несанкционированного доступа к системе по беспроводным каналам Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза незащищённого администрирования облачных услуг Угроза исчерпания запаса ключей, необходимых для обновления BIOS Угроза использования слабых криптографических алгоритмов BIOS Угроза использования информации идентификации/аутентификации, заданной по умолчанию Угроза загрузки нештатной операционной системы Угроза доступа/перехвата/изменения HTTP cookies Угроза восстановления предыдущей уязвимой версии BIOS Угроза аппаратного сброса пароля BIOS Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза перехвата управления информационной системой Угроза использования уязвимых версий программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза несанкционированного воздействия на средство защиты информации Угроза наличия механизмов разработчика Угроза «кражи» учётной записи доступа к сетевым сервисам | Угроза автоматического распространения вредоносного кода в грид-системе Угроза установки уязвимых версий обновления программного обеспечения BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза пропуска проверки целостности программного обеспечения Угроза подмены резервной копии программного обеспечения BIOS Угроза несанкционированного управления указателями Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS Угроза непрерывной модернизации облачной инфраструктуры Угроза нарушения изоляции пользовательских данных внутри виртуальной машины Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза использования поддельных цифровых подписей BIOS Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения вводимой и выводимой на периферийные устройства информации Угроза избыточного выделения оперативной памяти Угроза деструктивного использования декларированного функционала BIOS Угроза выхода процесса за пределы виртуальной машины Угроза внедрения кода или данных Угроза внедрения вредоносного кода в BIOS Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза обхода многофакторной аутентификации Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза внедрения вредоносного кода в дистрибутив программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза подмены программного обеспечения Угроза распространения «почтовых червей» Угроза скрытного включения вычислительного устройства в состав бот-сети Угроза неправомерного шифрования информации Угроза заражения компьютера при посещении неблагонадёжных сайтов Угроза эксплуатации цифровой подписи программного кода Угроза использования скомпрометированного доверенного источника обновлений программного обеспеченияУгроза автоматического распространения вредоносного кода в грид-системе Угроза установки уязвимых версий обновления программного обеспечения BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза пропуска проверки целостности программного обеспечения Угроза подмены резервной копии программного обеспечения BIOS Угроза несанкционированного управления указателями Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS Угроза непрерывной модернизации облачной инфраструктуры Угроза нарушения изоляции пользовательских данных внутри виртуальной машины Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза использования поддельных цифровых подписей BIOS Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения вводимой и выводимой на периферийные устройства информации Угроза избыточного выделения оперативной памяти Угроза деструктивного использования декларированного функционала BIOS Угроза выхода процесса за пределы виртуальной машины Угроза внедрения кода или данных Угроза внедрения вредоносного кода в BIOS Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза обхода многофакторной аутентификации Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза внедрения вредоносного кода в дистрибутив программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза подмены программного обеспечения Угроза распространения «почтовых червей» Угроза скрытного включения вычислительного устройства в состав бот-сети Угроза неправомерного шифрования информации Угроза заражения компьютера при посещении неблагонадёжных сайтов Угроза эксплуатации цифровой подписи программного кода Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения | Угроза несанкционированного создания учётной записи пользователя Угроза несанкционированного редактирования реестра Угроза исследования механизмов работы программы Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза использования уязвимых версий программного обеспечения Угроза маскирования действий вредоносного кода Угроза эксплуатации цифровой подписи программного кода | Угроза удаления аутентификационной информации Угроза повышения привилегий Угроза перехвата управления средой виртуализации Угроза перехвата управления гипервизором Угроза перехвата привилегированного процесса Угроза перехвата привилегированного потока Угроза перебора всех настроек и параметров приложения Угроза ошибки обновления гипервизора Угроза обхода некорректно настроенных механизмов аутентификации Угроза несогласованности правил доступа к большим данным Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам Угроза несанкционированного редактирования реестра Угроза несанкционированного изменения аутентификационной информации Угроза незащищённого администрирования облачных услуг Угроза невозможности управления правами пользователей BIOS Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия Угроза использования механизмов авторизации для повышения привилегий Угроза воздействия на программы с высокими привилегиями Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза несанкционированного использования привилегированных функций мобильного устройства Угроза перехвата исключения/сигнала из привилегированного блока функций | Угроза подделки записей журнала регистрации событий Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники Угроза передачи данных по скрытым каналам Угроза отключения контрольных датчиков Угроза использования альтернативных путей доступа к ресурсам Угроза анализа криптографических алгоритмов и их реализации Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика Угроза несанкционированного изменения параметров настройки средств защиты информации Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта Угроза подмены модели машинного обучения |
Продолжение таблицы ...
| Получения учетных данных | Развертывание | Боковое перемещение | Сбор данных | Управление и контроль | Эксфильтрация | Воздействие |
|---|---|---|---|---|---|---|
| Угроза удаления аутентификационной информации Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данных Угроза подмены субъекта сетевого доступа Угроза подмены беспроводного клиента или точки доступа Угроза несанкционированного изменения аутентификационной информации Угроза несанкционированного доступа к аутентификационной информации Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера Угроза доступа/перехвата/изменения HTTP cookies Угроза восстановления и/или повторного использования аутентификационной информации Угроза хищения аутентификационной информации из временных файлов cookie Угроза перехвата одноразовых паролей в режиме реального времени | Угроза «форсированного веб-браузинга» Угроза нарушения целостности данных кеша Угроза использования уязвимых версий программного обеспечения | Угроза автоматического распространения вредоносного кода в грид-системе Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL Угроза распространения несанкционированно повышенных прав на всю грид-систему Угроза определения топологии вычислительной сети Угроза обнаружения хостов Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза нарушения изоляции среды исполнения BIOS Угроза исследования приложения через отчёты об ошибках Угроза исследования механизмов работы программы Угроза использования информации идентификации/аутентификации, заданной по умолчанию Угроза заражения DNS-кеша Угроза доступа/перехвата/изменения HTTP cookies Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза перехвата управления информационной системой Угроза использования уязвимых версий программного обеспечения Угроза перехвата управления автоматизированной системой управления технологическими процессами Угроза несанкционированного использования системных и сетевых утилит Угроза наличия механизмов разработчика Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения | Угроза прямого обращения к памяти вычислительного поля суперкомпьютера Угроза перехвата данных, передаваемых по вычислительной сети Угроза перехвата вводимой и выводимой на периферийные устройства информации Угроза общедоступности облачной инфраструктуры Угроза несанкционированного управления синхронизацией и состоянием Угроза несанкционированного управления буфером Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации Угроза несанкционированного доступа к сегментам вычислительного поля Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза несанкционированного доступа к виртуальным каналам передачи Угроза несанкционированного восстановления удалённой защищаемой информации Угроза неправомерных действий в каналах связи Угроза неправомерного ознакомления с защищаемой информацией Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера Угроза неконтролируемого копирования данных внутри хранилища больших данных Угроза недобросовестного исполнения обязательств поставщиками облачных услуг Угроза исследования приложения через отчёты об ошибках Угроза исследования механизмов работы программы Угроза использования слабостей протоколов сетевого/локального обмена данными Угроза изменения компонентов информационной (автоматизированной) системы Угроза доступа к локальным файлам сервера при помощи URL Угроза доступа к защищаемым файлам с использованием обходного пути Угроза агрегирования данных, передаваемых в грид-системе Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза перехвата управления информационной системой Угроза несанкционированного доступа к защищаемой памяти ядра процессора Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства Угроза «кражи» учётной записи доступа к сетевым сервисам Угроза перехвата исключения/сигнала из привилегированного блока функций Угроза раскрытия информации о модели машинного обучения Угроза хищения обучающих данных | Угроза передачи данных по скрытым каналам Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза использования альтернативных путей доступа к ресурсам Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентов Угроза перехвата управления автоматизированной системой управления технологическими процессами | Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации Угроза передачи данных по скрытым каналам Угроза несанкционированного копирования защищаемой информации Угроза использования альтернативных путей доступа к ресурсам Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства Угроза «кражи» учётной записи доступа к сетевым сервисам | Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями Угроза форматирования носителей информации Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации Угроза утраты носителей информации Угроза утраты вычислительных ресурсов Угроза удаления аутентификационной информации Угроза сбоя процесса обновления BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза приостановки оказания облачных услуг вследствие технических сбоев Угроза привязки к поставщику облачных услуг Угроза приведения системы в состояние «отказ в обслуживании» Угроза повреждения системного реестра Угроза переполнения целочисленных переменных Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники Угроза передачи запрещённых команд на оборудование с числовым программным управлением Угроза перегрузки грид-системы вычислительными заданиями Угроза перебора всех настроек и параметров приложения Угроза ошибки обновления гипервизора Угроза отказа в обслуживании системой хранения данных суперкомпьютера Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных Угроза опосредованного управления группой программ через совместно используемые данные Угроза несогласованности политик безопасности элементов облачной инфраструктуры Угроза несанкционированного управления указателями Угроза несанкционированного управления синхронизацией и состоянием Угроза несанкционированного управления буфером Угроза несанкционированного удаления защищаемой информации Угроза несанкционированного редактирования реестра Угроза несанкционированного использования привилегированных функций BIOS Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети Угроза несанкционированного доступа к сегментам вычислительного поля Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети Угроза неправомерных действий в каналах связи Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза некорректного использования функционала программного и аппаратного обеспечения Угроза некорректного задания структуры данных транзакции Угроза неконтролируемого уничтожения информации хранилищем больших данных Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов Угроза неконтролируемого роста числа виртуальных машин Угроза незащищённого администрирования облачных услуг Угроза недобросовестного исполнения обязательств поставщиками облачных услуг Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания Угроза неверного определения формата входных данных, поступающих в хранилище больших данных Угроза нарушения целостности данных кеша Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия Угроза нарушения изоляции среды исполнения BIOS Угроза нарушения доступности облачного сервера Угроза исчерпания вычислительных ресурсов хранилища больших данных Угроза использования слабостей протоколов сетевого/локального обмена данными Угроза использования слабостей кодирования входных данных Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения XML-схемы Угроза изменения системных и глобальных переменных Угроза изменения режимов работы аппаратных элементов компьютера Угроза изменения компонентов информационной (автоматизированной) системы Угроза злоупотребления доверием потребителей облачных услуг Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг Угроза длительного удержания вычислительных ресурсов пользователями Угроза деструктивного изменения конфигурации/среды окружения программ Угроза деавторизации санкционированного клиента беспроводной сети Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза несанкционированного доступа к системе при помощи сторонних сервисов Угроза перехвата управления информационной системой Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечением администрирования информационных систем Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспечения Угроза несанкционированного доступа к параметрам настройки оборудования за счет использования «мастер-кодов» (инженерных паролей) Угроза отказа в работе оборудования из-за изменения геолокационной информации о нем Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты Угроза использования уязвимых версий программного обеспечения Угроза несанкционированного воздействия на средство защиты информации Угроза перехвата управления автоматизированной системой управления технологическими процессами Угроза физического устаревания аппаратных компонентов Угроза отказа подсистемы обеспечения температурного режима Угроза несанкционированной модификации защищаемой информации Угроза несанкционированного использования системных и сетевых утилит Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты Угроза «спама» веб-сервера Угроза неправомерного шифрования информации Угроза наличия механизмов разработчика Угроза внедрения системной избыточности Угроза включения в проект не достоверно испытанных компонентов Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных Угроза подмены модели машинного обучения |
Такой подход позволит сформулировать сценарии реализации угроз из БДУ ФСТЭК при атаке на объекты воздействия. Попытка же сформулировать для каждой актуальной угрозы из БДУ ФСТЭК техник реализации данных угроз (как предполагает Методика ФСТЭК) является очень трудоёмкой и малоэффективной задачей.
В методике ФСТЭК принят следующий подход к определению актуальных угроз безопасности информации:
5.3.4. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации. Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействияи видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующимуровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации. Перечень основных тактик (тактических задач) и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации, приведен в приложении 11 к настоящей Методике.
Посмотрим как ФСТЭК будет развивать свой подход и предложит ли он сформулированные техники реализации для всех угроз из БДУ ФСТЭК.
upd На праздниках развернул сервер с альтернативной формой БДУ ФСТЭК. Доступно по адресу реорганизованная БД ФСТЭК .