Adversaries may gather information about the victim's networks that can be used during targeting. Information about networks may include a variety of details, including administrative data (ex: IP ranges, domain names, etc.) as well as specifics regarding its topology and operations.
Adversaries may gather this information in various ways, such as direct collection actions via Active Scanning or Phishing for Information. Information about networks may also be exposed to adversaries via online or other accessible data sets (ex: Search Open Technical Databases).[1][2][3] Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Active Scanning or Search Open Websites/Domains), establishing operational resources (ex: Acquire Infrastructure or Compromise Infrastructure), and/or initial access (ex: Trusted Relationship).
| ID | Name | Description |
|---|---|---|
| G0125 | HAFNIUM |
HAFNIUM gathered the fully qualified domain names (FQDNs) for targeted Exchange servers in the victim's environment.[4] |
| G0119 | Indrik Spider |
Indrik Spider has downloaded tools, such as the Advanced Port Scanner utility and Lansweeper, to conduct internal reconnaissance of the victim network. Indrik Spider has also accessed the victim’s VMware VCenter, which had information about host configuration, clusters, etc.[5] |
| G1017 | Volt Typhoon |
Volt Typhoon has conducted extensive pre-compromise reconnaissance to learn about the target organization’s network.[6] |
| ID | Mitigation | Description |
|---|---|---|
| M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties. |
| ID | Name | Analytic ID | Analytic Description |
|---|---|---|---|
| DET0016 | Аттестация объектов информатизации по требованиям безопасности информации | AN2001 |
Аттестация — это комплекс организационно-технических мероприятий, в результате которых выдается «Аттестат соответствия», подтверждающий, что объект информатизации (автоматизированная система, защищаемое помещение) соответствует требованиям стандартов безопасности. Аттестация обязательна для объектов, где обрабатывается государственная тайна, для государственных информационных систем (ГИС), информационных систем персональных данных (ИСПДн) определенных уровней и значимых объектов критической информационной инфраструктуры (КИИ). Аттестацию проводят организации-лицензиаты ФСТЭК России. Процесс включает проверку документации, анализ угроз и проведение испытаний системы защиты в реальных условиях эксплуатации. |
| DET0017 | Лицензирование и сертификация в области защиты конфиденциальной информации | AN2001 |
Деятельность по защите конфиденциальной информации также подлежит лицензированию. Согласно ФЗ № 99 и постановлениям Правительства РФ, лицензии требуются на деятельность по технической защите конфиденциальной информации (ТЗКИ) и на разработку и производство средств защиты конфиденциальной информации. Лицензирующим органом выступает ФСТЭК России. Если деятельность связана с разработкой, производством, распространением шифровальных (криптографических) средств или оказанием услуг в области шифрования, лицензию выдает ФСБ России. Требования к соискателям лицензий включают наличие квалифицированных специалистов, помещений, необходимого оборудования и программного обеспечения. |
| DET0018 | Защита информации от неправомерных действий органов, занимающихся оперативно-розыскной деятельностью | AN2001 |
Деятельность оперативных подразделений (МВД, ФСБ и др.) регулируется ФЗ «Об оперативно-розыскной деятельности». Хотя они имеют право проводить негласные мероприятия (прослушивание переговоров, снятие информации с каналов связи), эти действия строго регламентированы. Проведение мероприятий, ограничивающих конституционные права граждан на тайну переписки и неприкосновенность жилища, допускается только на основании судебного решения. В экстренных случаях (угроза государственной безопасности) разрешается начать мероприятие без решения суда, но с обязательным уведомлением суда в течение 24 часов и получением судебного решения в течение 48 часов. Граждане вправе обжаловать действия органов, осуществляющих ОРД, в вышестоящий орган, прокуратуру или суд. |
| DET0019 | Защита коммерческой информации от неправомерных действий контролирующих и правоохранительных органов | AN2001 |
Взаимодействие бизнеса с государственными органами регламентируется ФЗ № 294 «О защите прав юридических лиц... при осуществлении государственного контроля». Закон устанавливает четкие основания и сроки проведения проверок (плановые — не чаще раза в 3 года). Сотрудники полиции (ФЗ «О полиции») имеют право входить в помещения и проводить осмотр только при наличии данных о нарушении законодательства и в присутствии представителей юридического лица. Федеральная антимонопольная служба (ФАС) вправе запрашивать документы, составляющие коммерческую тайну, но обязана не разглашать полученные сведения. За разглашение коммерческой тайны должностные лица госорганов несут гражданско-правовую, административную и уголовную ответственность, а причиненный ущерб подлежит возмещению за счет казны РФ. |
| DET0020 | Нормативно-правовое регулирование профессиональной тайны | AN2001 |
Профессиональная тайна защищает информацию, доверенную лицу в силу исполнения им профессиональных обязанностей. Основными субъектами являются доверитель и держатель тайны. К объектам профессиональной тайны относятся врачебная, нотариальная, адвокатская тайна, тайна связи, аудиторская тайна и другие. Регулирование осуществляется профильными законами: ФЗ «Об основах охраны здоровья граждан» (врачебная тайна), «Основы законодательства о нотариате» (нотариальная тайна), ФЗ «Об адвокатской деятельности» (адвокатская тайна). Разглашение профессиональной тайны без согласия доверителя допускается только в случаях, прямо предусмотренных законом (например, по запросу суда или следствия при расследовании преступлений). |
| DET0021 | Нормативно-правовое регулирование служебной тайны | AN2001 |
Служебная тайна — это конфиденциальная информация, ставшая известной в государственных органах, доступ к которой ограничен законом (пометка «Для служебного пользования»). Порядок обращения с такой информацией регулируется Постановлением Правительства РФ № 1233. К служебной тайне относятся налоговая тайна (ст. 102 НК РФ), тайна предварительного расследования (ст. 161 УПК РФ), тайна усыновления. Государственные органы обязаны обеспечивать защиту этой информации. Не могут быть засекречены сведения о чрезвычайных ситуациях, состоянии окружающей среды, фактах нарушения прав и свобод человека. |
| DET0022 | Правовое обеспечение защиты персональных данных | AN2001 |
Основным документом является Федеральный закон № 152-ФЗ «О персональных данных». Он регулирует отношения, связанные с обработкой информации о гражданах (физических лицах). Ключевой принцип — обработка персональных данных допускается только с согласия субъекта (за исключением случаев, предусмотренных законом, например, для исполнения договора или функций госорганов). Операторы обязаны принимать правовые, организационные и технические меры для защиты данных от неправомерного доступа. Важным требованием является локализация данных: согласно ст. 18 закона, при сборе данных граждан РФ оператор обязан обеспечить их запись и хранение с использованием баз данных, находящихся на территории России. |
| DET0023 | Классификация информационных систем персональных данных по уровням требуемой защищенности | AN2001 |
Согласно Постановлению Правительства РФ № 1119, информационные системы персональных данных (ИСПДн) классифицируются по четырем уровням защищенности (УЗ), где 1-й уровень — самый высокий, а 4-й — минимальный. Уровень защищенности определяется исходя из: 1.Категории обрабатываемых данных (специальные, биометрические, общедоступные, иные). 2.Типа субъектов (работники оператора или иные лица). 3.Количества субъектов (более или менее 100 тысяч). 4.Типа актуальных угроз (1-й, 2-й или 3-й тип, зависящие от наличия недокументированных возможностей в системном и прикладном ПО). |
| DET0024 | Ответственность за нарушения в области обработки персональных данных | AN2001 |
За нарушение законодательства о персональных данных предусмотрена административная, уголовная, гражданско-правовая и дисциплинарная ответственность. Основная ответственность — административная (ст. 13.11 КоАП РФ). Штрафы дифференцированы по видам нарушений (обработка без согласия, неопубликование политики конфиденциальности, невыполнение требований по уточнению данных и т.д.). В последние годы штрафы были существенно увеличены, особенно за повторные нарушения и за нарушение требований по локализации баз данных (штрафы могут достигать 6–18 млн рублей). Также субъект имеет право на возмещение морального вреда (ст. 24 ФЗ № 152). |
| DET0025 | Преступления в сфере компьютерной информации: виды и общая характеристика | AN2001 |
Преступления в сфере компьютерной информации объединены в Главе 28 Уголовного кодекса РФ. Непосредственным объектом этих преступлений является безопасность информации и систем ее обработки. Выделяются следующие составы: Статья 272 — Неправомерный доступ к компьютерной информации (если это повлекло уничтожение, блокирование, модификацию или копирование информации). Статья 273 — Создание, использование и распространение вредоносных компьютерных программ (вирусов). Статья 274 — Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации (если это повлекло крупный ущерб). Статья 274.1 — Неправомерное воздействие на критическую информационную инфраструктуру (КИИ) РФ. |
| DET0026 | Особенности квалификации преступлений в сфере компьютерной информации | AN2001 |
Квалификация осуществляется с учетом разъяснений Пленума Верховного Суда РФ № 37 от 15.12.2022. По ст. 272 (неправомерный доступ) состав преступления — материальный. Это значит, что уголовная ответственность наступает только при наличии последствий (уничтожение, блокирование, копирование и т.д.). Если доступ был, но последствий не наступило, ответственность не наступает (или квалифицируется как покушение). По ст. 273 (вредоносные программы) состав формальный. Ответственность наступает уже за сам факт создания или распространения вируса, независимо от наступления последствий. По ст. 274 (нарушение правил эксплуатации) субъект преступления специальный — лицо, имеющее легальный доступ к системе, но нарушившее правила работы с ней.\ |
| DET0027 | Уголовная ответственность за распространение противоправной информации | AN2001 |
Законодательство РФ предусматривает уголовную ответственность не только за взлом систем, но и за содержание распространяемой информации. К таким преступлениям относятся: Клевета (ст. 128.1 УК РФ), в том числе совершенная публично в интернете. Публичные призывы к осуществлению экстремистской деятельности (ст. 280 УК РФ) и возбуждение ненависти либо вражды (ст. 282 УК РФ). Публичное распространение заведомо ложной информации («фейков») об обстоятельствах, представляющих угрозу жизни и безопасности граждан (ст. 207.1, 207.2 УК РФ), включая информацию о вооруженных силах. Публичные призывы к осуществлению террористической деятельности или оправдание терроризма (ст. 205.2 УК РФ). |
| DET00О28 | Объекты интеллектуальной собственности: классификация и общая характеристика | AN2001 |
Согласно ст. 1225 ГК РФ, интеллектуальная собственность включает в себя охраняемые результаты интеллектуальной деятельности и приравненные к ним средства индивидуализации. К результатам интеллектуальной деятельности относятся: произведения науки, литературы и искусства; программы для ЭВМ и базы данных; изобретения; полезные модели; промышленные образцы; селекционные достижения; топологии интегральных микросхем; секреты производства (ноу-хау). К средствам индивидуализации относятся: фирменные наименования, товарные знаки и знаки обслуживания, наименования мест происхождения товаров, коммерческие обозначения. Интеллектуальные права на эти объекты включают исключительное право (имущественное) и личные неимущественные права (право авторства, право на имя). |
| DET0029 | Правовая охрана программ для ЭВМ и баз данных | AN2001 |
Программы для ЭВМ и базы данных в РФ охраняются как объекты авторского права (как литературные произведения и сборники соответственно). Это означает, что правовая охрана возникает автоматически в момент создания программы, без необходимости обязательной регистрации. Однако правообладатель может по желанию зарегистрировать программу в Роспатенте (ст. 1262 ГК РФ). Сведения вносятся в Реестр программ для ЭВМ. Авторские права действуют в течение всей жизни автора и 70 лет после его смерти. Правомерный пользователь программы имеет право осуществлять действия, необходимые для ее функционирования (включая запись в память ЭВМ), изготавливать архивную копию и декомпилировать программу в ограниченных целях (для обеспечения совместимости). |
| DET0030 | Охрана патентных прав | AN2001 |
Патентное право охраняет результаты технического творчества, имеющие промышленное применение. Объектами патентных прав являются изобретения, полезные модели и промышленные образцы (дизайн). В отличие от авторского права, права на эти объекты возникают только после государственной регистрации в Роспатенте и получения патента. Сроки действия исключительного права (при условии уплаты пошлин): для изобретений — 20 лет. Для полезных моделей — 10 лет. Для промышленных образцов — 5 лет (с возможностью продления до 25 лет). Патент удостоверяет приоритет, авторство и исключительное право на использование объекта. |
| DET0869 | Detection of Gather Victim Network Information | AN2001 |
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access. |
| DET0869 | Detection of Gather Victim Network Information | AN2001 |
Much of this activity may have a very high occurrence and associated false positive rate, as well as potentially taking place outside the visibility of the target organization, making detection difficult for defenders. Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access. |