T1600.002: Отключение аппаратного шифрования
Злоумышленники могут отключить аппаратное шифрование сетевого устройства, чтобы воспользоваться недостатками программного шифрования и упростить сбор и кражу передаваемых данных, а также другие манипуляции с ними.
Многие сетевые устройства, такие как маршрутизаторы, коммутаторы и межсетевые экраны, шифруют трафик для безопасной передачи данных между сетями. Зачастую такие устройства оснащены специальным оборудованием, которое значительно ускоряет шифрование и обеспечивает защиту от злонамеренного вмешательства. Взяв под контроль такое устройство, злоумышленник может отключить оборудование для аппаратного шифрования, например изменив образ системы, что приведет к принудительному использованию программного шифрования на процессорах общего назначения. Обычно этот метод сочетается с атаками, ослабляющими стойкость программного шифрования — например, путем сокращения ключевого пространства .
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Не существует задокументированных методов, позволяющих специалистам по безопасности напрямую определить поведение, направленное на сокращение пространства ключей шифрования. Имеет смысл отслеживать связанные с этим техники злоумышленников, такие как "Изменение образа системы" и "Интерпретаторы командной строки сетевых устройств". Ряд методов обнаружения требуют поддержки и участия производителя оборудования. |
|---|