T1601.002: Понижение версии образа системы
Злоумышленники могут установить более старую версию операционной системы на сетевом устройстве, чтобы ослабить его безопасность. Старые версии операционных систем на сетевых устройствах часто имеют слабые алгоритмы шифрования и ограниченные или реже обновляемые защитные функции .
На встроенных устройствах для понижения версии операционной системы обычно бывает достаточно заменить файл ОС в хранилище. На большинстве встроенных устройств для этого требуется загрузить нужную версию файла операционной системы и настроить устройство на загрузку из этого файла при следующем перезапуске. Затем злоумышленник может сам перезапустить устройство, чтобы сразу применить изменения, или дождаться следующего перезапуска системы.
Понижение образа системы до старой версии может позволить злоумышленнику обойти защиту, например, посредством понижения надежности шифрования. Понижение версии образа системы может выполняться отдельно или в сочетании с внесением исправлений в образ системы.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в операционной системе сетевого устройства — злоумышленники могут использовать технику "Понижение версии образа системы" совместно с техникой Внесение исправлений в образ системы. Также рекомендуется подтвердить целостность файла образа операционной системы, предоставленного производителем оборудования. |
---|
Меры противодействия
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки. |
---|
ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST . |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа. |
---|
ID | M1043 | Название | Защита от получения учетных данных | Описание | Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли всегда были по возможности зашифрованы в соответствии с рекомендациями производителя . |
---|
ID | M1045 | Название | Подпись исполняемого кода | Описание | Многие производители предоставляют образы операционных систем с цифровой подписью, чтобы подтвердить целостность программного обеспечения, используемого на их платформе. По возможности используйте эту функцию для предотвращения и (или) обнаружения попыток злоумышленников скомпрометировать образ системы . |
---|
ID | M1046 | Название | Проверка целостности загрузки | Описание | Некоторые производители встраиваемых сетевых устройств предоставляют криптографическую подпись для обеспечения целостности образов операционных систем во время загрузки. Внедряйте их там, где это возможно, следуя рекомендациям поставщика . |
---|