Adversaries may gather information about the victim's networks that can be used during targeting. Information about networks may include a variety of details, including administrative data (ex: IP ranges, domain names, etc.) as well as specifics regarding its topology and operations.
Adversaries may gather this information in various ways, such as direct collection actions via Active Scanning or Phishing for Information. Information about networks may also be exposed to adversaries via online or other accessible data sets (ex: Search Open Technical Databases).[1][2][3] Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Active Scanning or Search Open Websites/Domains), establishing operational resources (ex: Acquire Infrastructure or Compromise Infrastructure), and/or initial access (ex: Trusted Relationship).
| ID | Name | Description |
|---|---|---|
| G0125 | HAFNIUM |
HAFNIUM gathered the fully qualified domain names (FQDNs) for targeted Exchange servers in the victim's environment.[4] |
| G0119 | Indrik Spider |
Indrik Spider has downloaded tools, such as the Advanced Port Scanner utility and Lansweeper, to conduct internal reconnaissance of the victim network. Indrik Spider has also accessed the victim’s VMware VCenter, which had information about host configuration, clusters, etc.[5] |
| G1017 | Volt Typhoon |
Volt Typhoon has conducted extensive pre-compromise reconnaissance to learn about the target organization’s network.[6] |
| ID | Mitigation | Description |
|---|---|---|
| M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties. |
| ID | Name | Analytic ID | Analytic Description |
|---|---|---|---|
| DET0001 | Права обладателя и режимы доступа к информации | AN2001 |
Согласно Федеральному закону № 149-ФЗ «Об информации, информационных технологиях и о защите информации», информация является объектом правовых отношений. Обладателем информации может быть гражданин, организация или государство. Обладатель имеет право разрешать или ограничивать доступ к своей информации, использовать ее по своему усмотрению, а также защищать свои права в случае незаконного получения или использования этой информации третьими лицами. Законодательство разделяет информацию по режимам доступа на три категории. Первая — это информация свободного доступа (общедоступная), к которой нет ограничений. Вторая — информация ограниченного доступа. Ограничение доступа к ней устанавливается только федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. К этой категории относятся государственная, коммерческая, служебная тайны, персональные данные и другие виды тайн. Третья категория — информация, распространение которой в РФ запрещено. |
| DET0002 | Сведения конфиденциального характера: классификация и общая характеристика | AN2001 |
Перечень сведений конфиденциального характера утвержден Указом Президента РФ № 188 от 06.03.1997 года. В этот перечень входят шесть основных групп сведений. Во-первых, это персональные данные, то есть сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Во-вторых, это тайна следствия и судопроизводства. В-третьих, служебная тайна — это служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (пометка «Для служебного пользования»). Четвертая группа — это профессиональная тайна, связанная с исполнением профессиональных обязанностей (врачебная, нотариальная, адвокатская тайна, тайна переписки и телефонных переговоров и др.). Пятая группа — коммерческая тайна, включающая сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с законом и ГК РФ. Шестая группа — сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них. |
| DET0003 | Государственное регулирование особенностей распространения информации в сети Интернет | AN2001 |
Регулирование осуществляется на базе ФЗ № 149 «Об информации...» (статьи 10–10.7). Законодательство запрещает распространение информации, направленной на пропаганду войны, разжигание национальной или религиозной ненависти, а также материалов, произведенных иностранными агентами без соответствующей маркировки. Особые обязанности возложены на организаторов распространения информации (ОРИ) в сети Интернет. Согласно так называемому «пакету Яровой», они обязаны хранить текстовые сообщения, голосовую информацию, изображения и видео пользователей до шести месяцев и предоставлять их уполномоченным госорганам (ФСБ) для оперативно-розыскной деятельности. Владельцы социальных сетей с аудиторией более 500 тысяч пользователей в сутки обязаны самостоятельно осуществлять мониторинг и блокировать противоправный контент, а также соблюдать права граждан и размещать правила пользования сетью. |
| DET0004 | Основания и порядок блокировки интернет-ресурсов | AN2001 |
Механизм ограничения доступа к сайтам прописан в статьях 15.1–15.9 ФЗ № 149. Блокировка происходит через включение ресурса в «Единый реестр». Основанием для блокировки может служить решение суда или решение уполномоченных органов. По решению суда блокируются ресурсы, содержащие экстремистские материалы, информацию, нарушающую авторские права (пиратский контент), а также сведения, порочащие честь и достоинство граждан (если они не были удалены добровольно). Во внесудебном порядке решения принимают различные ведомства. Генеральная прокуратура блокирует призывы к массовым беспорядкам, экстремизму и недостоверную общественно значимую информацию (фейки). Роскомнадзор, Роспотребнадзор, ФНС и МВД в рамках своих компетенций блокируют детскую порнографию, информацию о способах изготовления наркотиков и т.п. |
| DET0005 | Сведения, составляющие государственную тайну | AN2001 |
В соответствии с Законом РФ № 5485-1 «О государственной тайне», государственной тайной являются защищаемые государством сведения, распространение которых может нанести ущерб безопасности Российской Федерации. К таким сведениям относится информация в военной области, в сфере экономики, науки и техники (если она имеет важное оборонное или экономическое значение), во внешнеполитической и внешнеэкономической деятельности. Также гостайну составляют сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности. Для сведений, составляющих государственную тайну, установлены три степени секретности: «собой важности», «совершенно секретно» и «секретно». Степень секретности зависит от тяжести ущерба, который может быть нанесен безопасности страны в случае разглашения этих сведений. |
| DET0006 | Процедуры допуска граждан и организаций к государственной тайне | AN2001 |
Допуск граждан к гостайне осуществляется в добровольном порядке и предусматривает ряд обязательных процедур. Гражданин должен дать согласие на проведение в отношении него проверочных мероприятий органами ФСБ. Он принимает на себя обязательства по нераспространению доверенных сведений и соглашается на частичные временные ограничения своих прав (например, права на выезд за границу). Также гражданин должен быть ознакомлен с нормами ответственности за нарушение законодательства о гостайне. Для организаций допуск к проведению работ, связанных с использованием сведений, составляющих гостайну, осуществляется путем получения лицензии. Лицензия выдается ФСБ (на работу со сведениями) или ФСТЭК (на создание средств защиты информации) после проведения специальной экспертизы предприятия и государственной аттестации его руководителей. |
| DET0007 | Ответственность за нарушения в области охраны государственной тайны | AN2001 |
Законодательство предусматривает уголовную, административную, гражданско-правовую и дисциплинарную ответственность за правонарушения в этой сфере. Наиболее суровая — уголовная ответственность. Статья 275 УК РФ «Государственная измена» предусматривает наказание в виде лишения свободы на срок от 12 до 20 лет (или пожизненно). Статья 276 УК РФ «Шпионаж» применяется к иностранным гражданам. Статья 283 УК РФ наказывает за разглашение государственной тайны лицом, которому она была доверена или стала известна по службе. Статья 284 УК РФ предусматривает ответственность за утрату документов, содержащих гостайну, если это повлекло тяжкие последствия. |
| DET0008 | Правовая защита коммерческой тайны | AN2001 |
Правовое регулирование осуществляется Федеральным законом № 98-ФЗ «О коммерческой тайне» и Гражданским кодексом РФ (охрана секретов производства — ноу-хау). Коммерческая тайна — это режим конфиденциальности информации, который позволяет ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. В отличие от государственной тайны, перечень сведений, составляющих коммерческую тайну, определяет сам обладатель информации (руководитель организации). Однако закон (ст. 5 ФЗ № 98) устанавливает перечень сведений, которые не могут составлять коммерческую тайну (например, учредительные документы, сведения о загрязнении окружающей среды, задолженности по зарплате, численности работников и др.). |
| DET0009 | Порядок установления режима коммерческой тайны в организациях | AN2001 |
Для того чтобы информация получила правовую защиту как коммерческая тайна, организация обязана ввести режим коммерческой тайны. Согласно статье 10 закона № 98-ФЗ, для этого необходимо выполнить ряд мер. Во-первых, нужно определить перечень информации, составляющей коммерческую тайну. Во-вторых, необходимо ограничить доступ к этой информации, установив порядок обращения с ней и контроль за его соблюдением. В-третьих, должен вестись учет лиц, получивших доступ к такой информации. В-четвертых, необходимо урегулировать отношения по использованию информации с работниками (через трудовые договоры) и контрагентами (через гражданско-правовые договоры). В-пятых, на материальные носители (документы) должен быть нанесен гриф «Коммерческая тайна» с указанием обладателя. Без выполнения этих мер режим не считается установленным. |
| DET0010 | Правовые основы деятельности службы безопасности | AN2001 |
Деятельность негосударственных служб безопасности регулируется Законом РФ «О частной детективной и охранной деятельности» № 2487-1, а также законами «Об оружии» и «О безопасности». Частная охранная деятельность подлежит обязательному лицензированию (лицензию выдает Росгвардия). Охранники должны пройти профессиональное обучение и получить удостоверение. Они имеют право обеспечивать пропускной режим, производить осмотр имущества (в пределах, установленных законом), задерживать лиц, совершивших противоправное посягательство на охраняемый объект, и передавать их полиции. Применение физической силы, специальных средств и служебного оружия допускается только в случаях и порядке, строго регламентированных законом (ст. 16-18), с обязательным предупреждением о намерении их использования (кроме случаев, когда промедление создает угрозу жизни). Частным детективам и охранникам запрещено осуществлять оперативно-розыскные мероприятия. |
| DET0011 | Правовая охрана неприкосновенности частной жизни | AN2001 |
Право на неприкосновенность частной жизни, личную и семейную тайну гарантируется статьями 23 и 24 Конституции РФ. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Защита этого права обеспечивается различными видами ответственности. Уголовная ответственность предусмотрена статьей 137 УК РФ (Нарушение неприкосновенности частной жизни) и статьей 138 УК РФ (Нарушение тайны переписки). Гражданско-правовая защита (по ГК РФ) позволяет гражданину требовать удаления информации, распространенной с нарушением закона, а также компенсации морального вреда. Исключения, когда согласие не требуется, касаются государственных, общественных и иных публичных интересов. |
| DET0012 | Оборот специальных технических средств, предназначенных для негласного получения информации | AN2001 |
Оборот специальных технических средств (СТС), таких как скрытые камеры, «жучки» для прослушивания и т.д., находится под строгим государственным контролем. Лицензирование деятельности по разработке, производству, реализации и приобретению в целях продажи СТС осуществляет ФСБ России. Использование СТС разрешено только уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность. Частным детективам и охранным структурам использование таких средств прямо запрещено. Незаконное производство, приобретение и сбыт специальных технических средств влечет уголовную ответственность по статье 138.1 УК РФ. |
| DET0013 | Правовая основа системы лицензирования и сертификации в РФ | AN2001 |
Система государственного регулирования в области защиты информации базируется на Федеральном законе № 99-ФЗ «О лицензировании отдельных видов деятельности» и Федеральном законе № 184-ФЗ «О техническом регулировании». Лицензирование является обязательным для видов деятельности, связанных с защитой государственной тайны, а также с защитой конфиденциальной информации. Конкретные перечни работ и услуг определяются постановлениями Правительства РФ. Сертификация средств защиты информации (СЗИ) — это подтверждение их соответствия требованиям безопасности. Она может быть обязательной (для гостайны и ГИС) и добровольной. Основными органами сертификации в этой сфере являются ФСТЭК России (техническая защита), ФСБ России (криптография) и Минобороны РФ. |
| DET0014 | Лицензирование деятельности по защите государственной тайны | AN2001 |
Согласно статье 27 Закона «О государственной тайне», предприятия, учреждения и организации, желающие проводить работы, связанные с использованием сведений, составляющих гостайну, либо с созданием средств защиты такой информации, обязаны получить лицензию. Лицензирование осуществляют ФСБ России (допуск к работам, защита гостайны), ФСТЭК России (техническая защита некриптографическими методами) и СВР (в пределах компетенции). Для получения лицензии организация должна пройти специальную экспертизу, которая подтверждает выполнение требований по режиму секретности, наличие квалифицированных кадров и сертифицированных средств защиты. Срок действия лицензии устанавливается до 5 лет. |
| DET0015 | Сертификация средств защиты информации | AN2001 |
Сертификация — это процедура подтверждения соответствия средств защиты информации (технических, программных, программно-аппаратных) требованиям по безопасности информации. Она обязательна для средств, используемых для защиты сведений, составляющих государственную тайну, а также в государственных информационных системах. Организацию системы сертификации осуществляют ФСТЭК, ФСБ и Минобороны. Испытания проводятся в аккредитованных испытательных лабораториях. По итогам испытаний выдается сертификат соответствия, который обычно действует до 5 лет. Использование несертифицированных средств защиты в случаях, когда сертификация обязательна, запрещено. |
| DET0869 | Detection of Gather Victim Network Information | AN2001 |
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access. |
| DET0869 | Detection of Gather Victim Network Information | AN2001 |
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access. |