T1601: Изменение образа системы
Злоумышленники могут вносить изменения в операционную систему встроенных сетевых устройств с целью нарушения работы средств защиты и получения новых возможностей. На таких устройствах операционные системы обычно монолитны, то есть большинство функций и возможностей устройства содержится в одном файле.
Чтобы изменить операционную систему, злоумышленнику обычно достаточно заменить или модифицировать этот единственный файл. Это можно сделать либо в оперативной памяти, что сразу обеспечит нужный эффект, либо в хранилище, чтобы изменения вступили в силу при следующей загрузке сетевого устройства.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Подтехники
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | В большинстве встроенных сетевых устройств предусмотрена команда, позволяющая узнать версию запущенной операционной системы. С помощью этой команды можно отправить запрос операционной системе, чтобы узнать ее версию, и сравнить ее с ожидаемой для устройства. Поскольку данный метод может сочетаться с техникой Внесение исправлений в образ системы, также рекомендуется подтверждать целостность файла образа операционной системы, предоставленного производителем оборудования. Сравнивайте контрольную сумму файла операционной системы с контрольной суммой его копии, полученной из доверенного источника. Не все платформы встроенных сетевых устройств способны определять контрольные суммы файлов. Даже если платформа поддерживает эту функцию, рекомендуется загрузить копию файла на доверенный компьютер и проверить контрольную сумму с помощью нескомпрометированного программного обеспечения . Многие производители встроенных сетевых устройств могут предложить поддержку для углубленной отладки, чтобы помочь владельцу устройства проверить целостность операционной системы в памяти. Если вы подозреваете, что операционная система скомпрометирована, свяжитесь со службой технической поддержки производителя устройства, чтобы провести более тщательную проверку системы . |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки. |
|---|
| ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST . |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа. |
|---|
| ID | M1043 | Название | Защита от получения учетных данных | Описание | Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были зашифрованы, если это возможно, в соответствии с рекомендациями производителя . |
|---|
| ID | M1045 | Название | Подпись исполняемого кода | Описание | Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы . |
|---|
| ID | M1046 | Название | Проверка целостности загрузки | Описание | Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика . |
|---|