Файл: Федеральная служба по техническому и экспортному контролю.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 481
Скачиваний: 5
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
80
Продолжение таблицы 11.1
№
Тактика
Основные техники
системах и сетях.
Пример: отсылка сообщений корпоративной электронной почты от имени коллег и прочих доверенных лиц
Примечание 17: Получение доступа (распространение доступа) к другим компонентам
систем и сетей или смежным системам и сетям может выполняться в несколько шагов с
использованием одной или более из перечисленных выше техник, пока нарушитель не
достигнет целевой системы или не будет вынужден прибегнуть к другой тактике для
продолжения атаки
Т9 Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз
Тактическая задача: в ходе реализации угроз безопасности информации, нарушителю может потребоваться получить и вывести за пределы инфраструктуры большие объемы информации, избежав при этом обнаружения или противодействия
Т9.1. Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления (например, RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования.
Пример: использование средств удаленного управления RMS / teamviewer для создания канала связи и управления скомпрометированной системой со стороны злоумышленников
Т9.2. Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного доступа и управления операционной системы
Т9.3. Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)
Т9.4. Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средств
Т9.5. Отправка данных по известным протоколам управления и передачи данных
Т9.6. Отправка данных по собственным протоколам
Т9.7. Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика передачи данных во избежание обнаружения.
Примеры: 1) использование скомпрометированных систем в той же сети, для которых правилами
МЭ разрешен доступ в Интернет в качестве прокси серверов; 2) использование инфраструктуры сети TOR для проксирования запросов к серверам управления; 3) использование одного коммуникационного протокола для запроса, и другого – для ответа на запрос
Т9.8. Туннелирование трафика передачи данных через VPN
81
Продолжение таблицы 11.1
1 2 3 4 5 6 7 8 9
№
Тактика
Основные техники
Т9.9. Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
Т9.10. Вывод информации через съемные носители, в частности, передача данных между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
Т9.11. Отправка данных через альтернативную среду передачи данных.
Пример: вывод конфиденциальной информации через субтитры видеоряда, демонстрируемого на веб-сайте
Т9.12. Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информации
Т9.13. Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для аутентификации и авторизации имеющихся учетных записей
Т9.14. Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного нарушителя (форумы, файлообменные сервисы, фотобанки, облачные сервисы, социальные сети)
Примечание 18: Сбор и вывод из системы или сети информации, необходимой для
дальнейших действий при реализации угроз безопасности информации или реализации новых
угроз может выполняться с использованием одной или более из перечисленных выше техник
для реализации резервных каналов вывода информации
Т10 Несанкционированный доступ и
(или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям
Тактическая задача: достижение нарушителем конечной цели,
Т10.1. Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивках
Т10.2. Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры доступа
Т10.3. Несанкционированное воздействие на программные модули прикладного программного обеспечения
Т10.4. Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прикладного программного обеспечения
Т10.5. Несанкционированное воздействие на программный код, конфигурацию и параметры
Тактика
Основные техники
Т9.9. Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другие
Т9.10. Вывод информации через съемные носители, в частности, передача данных между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системах
Т9.11. Отправка данных через альтернативную среду передачи данных.
Пример: вывод конфиденциальной информации через субтитры видеоряда, демонстрируемого на веб-сайте
Т9.12. Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информации
Т9.13. Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для аутентификации и авторизации имеющихся учетных записей
Т9.14. Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного нарушителя (форумы, файлообменные сервисы, фотобанки, облачные сервисы, социальные сети)
Примечание 18: Сбор и вывод из системы или сети информации, необходимой для
дальнейших действий при реализации угроз безопасности информации или реализации новых
угроз может выполняться с использованием одной или более из перечисленных выше техник
для реализации резервных каналов вывода информации
Т10 Несанкционированный доступ и
(или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям
Тактическая задача: достижение нарушителем конечной цели,
Т10.1. Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивках
Т10.2. Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры доступа
Т10.3. Несанкционированное воздействие на программные модули прикладного программного обеспечения
Т10.4. Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прикладного программного обеспечения
Т10.5. Несанкционированное воздействие на программный код, конфигурацию и параметры
82
Продолжение таблицы 11.1
№
Тактика
Основные техники
приводящее к реализации моделируемой угрозы и причинению недопустимых негативных последствий доступа системного программного обеспечения
Т10.6. Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прошивки устройства
Т10.7. Подмена информации (например, платежных реквизитов) в памяти или информации, хранимой в виде файлов, информации в базах данных и репозиториях, информации на неразмеченных областях дисков и сменных носителей
Т10.8. Уничтожение информации, включая информацию, хранимую в виде файлов, информацию в базах данных и репозиториях, информацию на неразмеченных областях дисков и сменных носителей
Т10.9. Добавление информации (например, дефейсинг корпоративного портала, публикация ложной новости)
Т10.10. Организация отказа в обслуживании одной или нескольких систем, компонентов системы или сети
Т10.11. Нецелевое использование ресурсов системы.
Примеры: 1) организация майнинговой платформы; 2) организация платформы для осуществления атак отказа в обслуживании на смежные системы и сети.
Т10.12. Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или нарушения функций управления, в том числе на АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов.
Примеры: 1) воздействие на автоматизированные системы управления объектов транспорта;
2) удаленное воздействие на цифровые системы и первичное оборудование объектов электроэнергетики; 3) воздействие на системы управления технологическим процессом нефтехимического объекта
Т10.13. Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или поломки оборудования, в том числе АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов
83
Окончание таблицы 11.1
№
Тактика
Основные техники
Т10.14. Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности, в том числе критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов
Т10.15. Воздействие на информационные ресурсы через системы распознавания визуальных, звуковых образов, системы геопозиционирования и ориентации, датчики вибрации, прочие датчики и системы преобразования сигналов физического мира в цифровое представление с целью полного или частичного вывода системы из строя или несанкционированного управления системой.
Примеры: 1) нанесение нелегитимной разметки дорожного полотна с целью вызова сбоя системы автоматического управления автомобилем; 2) использование специальных символов в идентификационном знаке физического объекта, распознаваемом камерами видеонаблюдения
Примечание 19: Несанкционированный доступ и (или) воздействие на информационные
ресурсы или компоненты систем и сетей, приводящее к негативным последствиям при
реализации угроз безопасности информации или реализации новых угроз, может
выполняться с использованием одной или более из перечисленных выше техник для
повышения эффективности воздействия с точки зрения нарушителя или для реализации
нескольких типов воздействия на атакуемую систему
Формат 60×90/8. Усл.печ.л. 10,38
Зак.