T1601: Изменение образа системы

Злоумышленники могут вносить изменения в операционную систему встроенных сетевых устройств с целью нарушения работы средств защиты и получения новых возможностей. На таких устройствах операционные системы обычно монолитны, то есть большинство функций и возможностей устройства содержится в одном файле.

Чтобы изменить операционную систему, злоумышленнику обычно достаточно заменить или модифицировать этот единственный файл. Это можно сделать либо в оперативной памяти, что сразу обеспечит нужный эффект, либо в хранилище, чтобы изменения вступили в силу при следующей загрузке сетевого устройства.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Подтехники

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

В большинстве встроенных сетевых устройств предусмотрена команда, позволяющая узнать версию запущенной операционной системы. С помощью этой команды можно отправить запрос операционной системе, чтобы узнать ее версию, и сравнить ее с ожидаемой для устройства. Поскольку данный метод может сочетаться с техникой Внесение исправлений в образ системы, также рекомендуется подтверждать целостность файла образа операционной системы, предоставленного производителем оборудования.

Сравнивайте контрольную сумму файла операционной системы с контрольной суммой его копии, полученной из доверенного источника. Не все платформы встроенных сетевых устройств способны определять контрольные суммы файлов. Даже если платформа поддерживает эту функцию, рекомендуется загрузить копию файла на доверенный компьютер и проверить контрольную сумму с помощью нескомпрометированного программного обеспечения .

Многие производители встроенных сетевых устройств могут предложить поддержку для углубленной отладки, чтобы помочь владельцу устройства проверить целостность операционной системы в памяти. Если вы подозреваете, что операционная система скомпрометирована, свяжитесь со службой технической поддержки производителя устройства, чтобы провести более тщательную проверку системы  .

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

IDM1027НазваниеПарольные политикиОписание

При создании политик паролей руководствуйтесь рекомендациями NIST .

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа.

IDM1043НазваниеЗащита от получения учетных данныхОписание

Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были зашифрованы, если это возможно, в соответствии с рекомендациями производителя .

IDM1045НазваниеПодпись исполняемого кодаОписание

Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы .

IDM1046НазваниеПроверка целостности загрузкиОписание

Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика .