T1601.002: Понижение версии образа системы

Злоумышленники могут установить более старую версию операционной системы на сетевом устройстве, чтобы ослабить его безопасность. Старые версии операционных систем на сетевых устройствах часто имеют слабые алгоритмы шифрования и ограниченные или реже обновляемые защитные функции .

На встроенных устройствах для понижения версии операционной системы обычно бывает достаточно заменить файл ОС в хранилище. На большинстве встроенных устройств для этого требуется загрузить нужную версию файла операционной системы и настроить устройство на загрузку из этого файла при следующем перезапуске. Затем злоумышленник может сам перезапустить устройство, чтобы сразу применить изменения, или дождаться следующего перезапуска системы.

Понижение образа системы до старой версии может позволить злоумышленнику обойти защиту, например, посредством понижения надежности шифрования. Понижение версии образа системы может выполняться отдельно или в сочетании с внесением исправлений в образ системы.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменения в операционной системе сетевого устройства — злоумышленники могут использовать технику "Понижение версии образа системы" совместно с техникой Внесение исправлений в образ системы. Также рекомендуется подтвердить целостность файла образа операционной системы, предоставленного производителем оборудования.

Меры противодействия

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

IDM1027НазваниеПарольные политикиОписание

При создании политик паролей руководствуйтесь рекомендациями NIST .

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа.

IDM1043НазваниеЗащита от получения учетных данныхОписание

Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя .

IDM1045НазваниеПодпись исполняемого кодаОписание

Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы .

IDM1046НазваниеПроверка целостности загрузкиОписание

Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика .