MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1600: Понижение надежности шифрования

Злоумышленники могут скомпрометировать механизмы шифрования на сетевых устройствах, используемые для защиты передачи данных .

Шифрование защищает сетевой трафик, обеспечивая его конфиденциальность (предотвращает несанкционированный доступ) и целостность (защищает от несанкционированных изменений). С помощью шифров открытый текст преобразуется в зашифрованный, и его расшифровка без соответствующего ключа может требовать значительных вычислительных ресурсов. Обычно более длинные ключи усложняют криптоанализ и расшифровку без ключа.

Злоумышленники могут скомпрометировать устройства, которые шифруют сетевой трафик, и манипулировать ими. Например, злоумышленник может ослабить шифрование устройства и (или) лишить его возможности безопасного шифрования сетевого трафика, изменив образ системы, сократив ключевое пространство или отключив аппаратное шифрование. Это увеличивает риск несанкционированного раскрытия сведений и может упростить манипуляцию данными, доступ к учетным данным и сбор информации .

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

mssql_database: PT-CR-414: MSSQL_enable_nonsecure_property: Попытка включить потенциально небезопасное свойство базы данных

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Не существует задокументированных методов, позволяющих специалистам по безопасности напрямую определить поведение, направленное на сокращение пространства ключей шифрования. Можно отслеживать связанные с этим техники злоумышленников, такие как "Изменение образа системы" и "Интерпретаторы командной строки сетевых устройств". Ряд методов обнаружения требуют поддержки и участия производителя оборудования.