Маппинг техник MITRE ATT&CK в техники ФСТЭК

После публикации методики оценки угроз ФСТЭК оказалось очень логичной мысль, использовать при моделировании не техники нарушителей ФСТЭК (их не так много и они не очень хорошо систематизированы и детализированы), а техники MITRE ATT&CK, которые не только лучше описаны, но и поддерживаются более широким сообществом, а на их базе построено не малое количество полезных в практической деятельности инструментов. Поэтому я перевел названия техник и тактик из матрицы MITRE ATT&CK на русский язык и сделал их маппинг в техники ФСТЭК, включая и 10-ю, последнюю на текущий момент, версию MITRE ATT&CK. Excel-файлы с переводом и маппингом вы можете найти на этом сайте, а ниже вы видите простой инструмент, автоматизирующий процедуру поиска и маппинга техник.

Техника ФСТЭКНазвание техники ФСТЭКТехника MITRE ATT&CK
T1.1Сбор информации из публичных источников: официальный сайт (сайты) организации, СМИ, социальные сети, фотобанки, сайты поставщиков и вендоров, материалы конференцийT1593
T1594
T1596
T1591
T1.2Сбор информации о подключенных к публичным системам и сетям устройствах и их службах при помощи поисковых систем, включая сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений.T1593
T1.3Пассивный сбор (прослушивание) информации о подключенных к сети устройствах с целью идентификации сетевых служб, типов и версий ПО этих служб и в некоторых случаях –идентификационной информации пользователейT1589
T1592
T1590
T1040
T1.4Направленное сканирование при помощи специализированного программного обеспечения подключенных к сети устройств с целью идентификации сетевых сервисов, типов и версий программного обеспечения этих сервисов, а также с целью получения конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений.T1595
T1592
T1590
T1.5Сбор информации о пользователях, устройствах, приложениях, а также сбор конфигурационной информации компонентов систем и сетей, программного обеспечения сервисов и приложений путем поиска и эксплуатации уязвимостей подключенных к сети устройств.T1595
T1590
T1589
T1592
T1.6Сбор информации о пользователях, устройствах, приложениях, авторизуемых сервисами вычислительной сети, путем перебора.T1589
T1.7Сбор информации, предоставляемой DNS сервисами, включая DNS HijackingT1596.001
T1.8Сбор информации о пользователе при посещении им веб-сайта, в том числе с использованием уязвимостей программы браузера и надстраиваемых модулей браузераОтсутствует (близко к T1185)
T1.9Сбор информации о пользователях, устройствах, приложениях путем поиска информации в памяти, файлах, каталогах, базах данных, прошивках устройств, репозиториях исходных кодов ПО, включая поиск паролей в исходном и хэшированном виде, криптографических ключей.T1589
T1.10Кража цифровых сертификатов, включая кражу физических токенов, либо неавторизованное выписывание новых сертификатов (возможно после компрометации инфраструктуры доменного регистратора или аккаунта администратора зоны на стороне жертвы)T1588.004
T1.11Сбор информации о пользователях, устройствах, приложениях, внутренней информации о компонентах систем и сетей путем применения социальной инженерии, в том числе фишингаT1598
T1.12Сбор личной идентификационной информации (идентификаторы пользователей, устройств, информация об идентификации пользователей сервисами, приложениями, средствами удаленного доступа), в том числе сбор украденных личных данных сотрудников и подрядчиков на случай, если сотрудники/подрядчики используют одни и те же пароли на работе и за ее пределамиT1589
T1.13Сбор информации через получение доступа к системам физической безопасности и видеонаблюденияОтсутствует
T1.14Сбор информации через получение контроля над личными устройствами сотрудников (смартфонами, планшетами, ноутбуками) для скрытой прослушки и видеофиксацииT1123
T1125
T1.15Поиск и покупка баз данных идентификационной информации, скомпрометированых паролей и ключей на специализированных нелегальных площадкахT1597.002
T1.16Сбор информации через получение доступа к базам данных результатов проведенных инвентаризаций, реестрам установленного оборудования и ПО, данным проведенных аудитов безопасности, в том числе через получение доступа к таким данным через компрометацию подрядчиков и партнеровT1195
T1602
T1.17Пассивный сбор и анализ данных телеметрии для получения информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектахОтсутствует (близко к T1590)
T1.18Сбор и анализ данных о прошивках устройств, количестве и подключении этих устройств, используемых промышленных протоколах для получения информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектахОтсутствует (близко к T1592)
T1.19Сбор и анализ специфических для отрасли или типа предприятия характеристик технологического процесса для получения информации о технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектахОтсутствует
T1.20Техники конкурентной разведки и промышленного шпионажа для сбора информации о технологическом процессе, технологических установках, системах и ПО на предприятиях в автоматизированных системах управления производственными и технологическими процессами, в том числе на критически важных объектахОтсутствует
T2.1Использование внешних сервисов организации в сетях публичного доступа (Интернет) Примеры: 1) доступ к веб-серверу, расположенному в сети организации; 2) доступ к интерфейсу электронной почты OutlookWebAccess (OWA) почтового сервера организацииОтсутствует (близко к T1190, T1133)
T2.2Использование устройств, датчиков, систем, расположенных на периметре или вне периметра физической защиты объекта, для получения первичного доступа к системам и компонентам внутри этого периметра.Отсутствует
T2.3Эксплуатация уязвимостей сетевого оборудования и средств защиты вычислительных сетей для получения доступа к компонентам систем и сетей при удаленной атаке.T1190
T1211
T2.4Использование ошибок конфигурации сетевого оборудования и средств защиты, в том числе слабых паролей и паролей по умолчанию, для получения доступа к компонентам систем и сетей при удаленной атакеОтсутствует (близко к T1078)
T2.5Эксплуатация уязвимостей компонентов систем и сетей при удаленной или локальной атаке.T1190
Т1203
T1211
T2.6Использование недокументированных возможностей программного обеспечения сервисов, приложений, оборудования, включая использование отладочных интерфейсов, программных, программно-аппаратных закладокОтсутствует
T2.7Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации вредоносных функций.T1091
T2.8Использование методов социальной инженерии, в том числе фишинга, для получения прав доступа к компонентам системыT1566
T2.9Несанкционированное подключение внешних устройств.T1200
T2.10Несанкционированный доступ путем подбора учетных данных сотрудника или легитимного пользователя (методами прямого перебора, словарных атак, паролей производителей по умолчанию, использования одинаковых паролей для разных учетных записей, применения «радужных» таблиц или другими)T1110
T2.11Несанкционированный доступ путем компрометации учетных данных сотрудника организации, в том числе через компрометацию многократно используемого в различных системах пароля (для личных или служебных нужд)T1078
T2.12Использование доступа к системам и сетям, предоставленного сторонним организациям, в том числе через взлом инфраструктуры этих организаций, компрометацию личного оборудования сотрудников сторонних организаций, используемого для доступа.T1199
T2.13Реализация атаки типа «человек посередине» для осуществления доступа, например, NTLM/SMB Relaying атакиT1557
T2.14Доступ путем эксплуатации недостатков систем биометрической аутентификации. T1556
T3.1Автоматический запуск скриптов и исполняемых файлов в системе с использованием пользовательских или системных учетных данных, в том числе с использованием методов социальной инженерииT1059
T1204
T3.2Активация и выполнение вредоносного кода, внедренного в виде закладок в легитимное программное и программное-аппаратное обеспечение систем и сетейT1543
T1574
T3.3Автоматическая загрузка вредоносного кода с удаленного сайта или ресурса с последующим запуском на выполнениеT1189
T3.4Копирование и запуск скриптов и исполняемых файлов через средства удаленного управления операционной системой и сервисамиT1047
T3.5Эксплуатация уязвимостей типа удаленное исполнение программного кода (RCE, Remotecodeexecution)T1203
T3.6Автоматическое создание вредоносных скриптов при помощи доступного инструментария от имени пользователя в системе с использованием его учетных данныхT1059
T3.7Подмена файлов легитимных программ и библиотек непосредственно в системе.Отсутствует
T3.8Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения, поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи.T1195
T3.9Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, подмена информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями.Отсутствует
T3.10Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых ресурсахT1129
T3.11Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических ключей, хранения и управления цифровыми сертификатамиT1588.003
T1587.002
T3.12Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системыT1195
T3.13Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров) в инфраструктуре целевой системы для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системыT1127
T3.14Планирование запуска вредоносных программ при старте операционной системы путем эксплуатации стандартных механизмов, в том числе путем правки ключей реестра, отвечающих за автоматический запуск программ, запуска вредоносных программ как сервисов и т.п.T1547
T3.15Планирование запуска вредоносных программ через планировщиков задач в операционной системе, а также с использованием механизмов планирования выполнения в удаленной системе через удаленный вызов процедур. Выполнение в контексте планировщика в ряде случаев позволяет авторизовать вредоносное программное обеспечение и повысить доступные ему привилегииT1053
T3.16Запуск вредоносных программ при помощи легитимных, подписанных цифровой подписью утилит установки приложений и средств запуска скриптов (т.н. техника проксирования запуска), а также через средства запуска кода элементов управления ActiveX, компонентов фильтров (кодеков) и компонентов библиотек DLL.T1218
T1216
T4.1Несанкционированное создание учетных записей или кража существующих учетных данныхТ1555
T1212
T1056
T1557
T1040
T1003
T1111
T1552
T4.2Использование штатных средств удаленного доступа и управления операционной системыT1219
T4.3Скрытая установка и запуск средств удаленного доступа и управления операционной системы. Внесение изменений в конфигурацию и состав программных и программно-аппаратных средств атакуемой системы или сети, вследствие чего становится возможен многократный запуск вредоносного кодаT1219
T1133
T1104
T4.4Маскирование подключенных устройств под легитимные (например, нанесение корпоративного логотипа, инвентарного номера, телефона службы поддержки)Отсутствует
T4.5Внесение соответствующих записей в реестр, автозагрузку, планировщики заданий, обеспечивающих запуск вредоносного программного обеспечения при перезагрузке системы или сетиT1053
T1547
T1542
T1037
T4.6Компрометация прошивок устройств с использованием уязвимостей или программно-аппаратных закладок, к примеру, внедрение новых функций в BIOS (UEFI), компрометация прошивок жестких дисковT1495
T1542
T4.7Резервное копирование вредоносного кода в областях, редко подвергаемых проверке, в том числе заражение резервных копий данных, сохранение образов в неразмеченных областях жестких дисков и сменных носителейОтсутствует
T5.1Удаленное управление через стандартные протоколы (например, RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования.T1021
T5.2Использование штатных средств удаленного доступа и управления операционной системыT1219
T1133
T5.3Коммуникация с внешними серверами управления через хорошо известные порты на этих серверах, разрешенные на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)T1599
T1104
T1071
T5.4Коммуникация с внешними серверами управления через нестандартные порты на этих серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средствT1599
T1104
T1571
T5.5Управление через съемные носители, в частности, передача команд управления между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системахT1092
T5.6Проксирование трафика управления для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика управления во избежание обнаружения.T1599
T1001
T1090
T5.7Туннелирование трафика управления через VPNT1572
T5.8Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другиеT1572
T5.9Управление через подключенные устройства, реализующие дополнительный канал связи с внешними системами или между скомпрометированными системами в сетиT1092
T5.10Использование средств обфускации, шифрования, стеганографии для сокрытия трафика управленияT1001
T5.11Передача команд управления через нестандартно интерпретируемые типовые операции, к примеру, путем выполнения копирования файла по разрешенному протоколу (FTP или подобному), путем управления разделяемыми сетевыми ресурсами по протоколу SMB и т.п.T1071
T5.12Передача команд управления через публикацию на внешнем легитимном сервисе, таком как веб-сайт, облачный ресурс, ресурс в социальной сети и т.п.T1102
T5.13Динамическое изменение адресов серверов управления, идентификаторов внешних сервисов, на которых публикуются команды управления, и т.п. по известному алгоритму во избежание обнаруженияT1568
Т6.1Получение данных для аутентификации и авторизации от имени привилегированной учетной записи путем поиска этих данных в папках и файлах, поиска в памяти или перехвата в сетевом трафике. Данные для авторизации включают пароли, хэш-суммы паролей, токены, идентификаторы сессии, криптографические ключи, но не ограничиваются имиT1558
T1111
T1040
T1003
T1555
T1552
Т6.2Подбор пароля или другой информации для аутентификации от имени привилегированной учетной записиT1110
Т6.3Эксплуатация уязвимостей ПО к повышению привилегий.T1068
Т6.4Эксплуатация уязвимостей механизма имперсонации (запуска операций в системе от имени другой учетной записи).T1211
Т6.5Манипуляции с идентификатором сессии, токеном доступа или иным параметром, определяющим права и полномочия пользователя в системе таким образом, что новый или измененный идентификатор/токен/параметр дает возможность выполнения ранее недоступных пользователю операций.T1134
T1098
Т6.6Обход политики ограничения пользовательских учетных записей в выполнении групп операций, требующих привилегированного режима.T1548
Т6.7Использование уязвимостей конфигурации системы, служб и приложений, в том числе предварительно сконфигурированных профилей привилегированных пользователей, автоматически запускаемых от имени привилегированных пользователей скриптов, приложений и экземпляров окружения, позволяющих вредоносному ПО выполняться с повышенными привилегиями.T1068
Т6.8Эксплуатация уязвимостей, связанных с отдельным, и вероятно менее строгим контролем доступа к некоторым ресурсам (например, к файловой системе) для непривилегированных учетных записей.T1211
Т6.9Эксплуатация уязвимостей средств ограничения среды исполнения (виртуальные машины, песочницы и т.п.) для исполнения кода вне этой среды.T1497
Т7.1Использование нарушителем или вредоносной платформой штатных инструментов администрирования, утилит и сервисов операционной системы, сторонних утилит, в том числе двойного назначения.T1059
T1546
Т7.2Очистка/затирание истории команд и журналов регистрации, перенаправление записей в журналы регистрации, переполнение истории команд и журналов регистрации, затруднение доступа к журналам регистрации для авторизованных пользователейT1562
T1070
Т7.3Удаление файлов, переписывание файлов произвольными данными, форматирование съемных носителейT1070
T1561
T1485
Т7.4Отключение средств защиты от угроз информационной безопасности, в том числе средств антивирусной защиты, механизмов аудита, консолей оператора мониторинга и средств защиты других типовT1562
Т7.5Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процессаОтсутствует
Т7.6Подделка данных вывода средств защиты от угроз информационной безопасностиОтсутствует
Т7.7Подделка данных телеметрии, данных вывода автоматизированных систем управления, данных систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности автоматизированной системы управления технологическими процессами и управляемого (контролируемого) объекта и (или) процесса, данных видеонаблюдения и других визуально или автоматически интерпретируемых данныхОтсутствует
Т7.8Выполнение атаки отказа в обслуживании на основные и резервные каналы связи, которые могут использоваться для доставки сообщений о неработоспособности систем или их компонентов или о других признаках атакиT1498
Т7.9Подписание кода, включая использование скомпрометированных сертификатов авторитетных производителей ПО для подписания вредоносных программных модулей.T1588
T1218
T1216
T1553
T1587
T1036
Т7.10Внедрение вредоносного кода в доверенные процессы операционной системы и другие объекты, которые не подвергаются анализу на наличие такого кода, для предотвращения обнаруженияT1055
T1620
Т7.11Модификация модулей и конфигурации вредоносного программного обеспечения для затруднения его обнаружения в системе.T1027
Т7.12Манипуляции именами и параметрами запуска процессов и приложений для обеспечения скрытности.T1543
Т7.13Создание скрытых файлов, скрытых учетных записейT1564
Т7.14Установление ложных доверенных отношений, в том числе установка корневых сертификатов для успешной валидации вредоносных программных модулей и авторизации внешних сервисовT1553
Т7.15Внедрение вредоносного кода выборочным/целевым образом на наиболее важные системы или системы, удовлетворяющие определенным критериям, во избежание преждевременной компрометации информации об используемых при атаке уязвимостях и обнаружения факта атакиОтсутствует
Т7.16Искусственное временное ограничение распространения или активации вредоносного кода внутри сети, во избежание преждевременного обнаружения факта атаки.Отсутствует
Т7.17Обфускация, шифрование, упаковка с защитой паролем или сокрытие стеганографическими методами программного кода вредоносного ПО, данных и команд управляющего трафика, в том числе при хранении этого кода и данных в атакуемой системе, при хранении на сетевом ресурсе или при передаче по сетиT1001
T1027
Т7.18Использование средств виртуализации для сокрытия вредоносного кода или вредоносной активности от средств обнаружения в операционной системеT1564
Т7.19Туннелирование трафика управления через VPNT1572
Т7.20Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другиеT1572
Т7.21Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствамиT1090
Т7.22Подмена и компрометация прошивок, в том числе прошивок BIOS, жестких дисковT1495
T1542
Т7.23Подмена файлов легитимных программ и библиотек непосредственно в системе.T1554
Т7.24Подмена легитимных программ и библиотек, а также легитимных обновлений программного обеспечения, поставляемых производителем удаленно через сети связи, в репозиториях поставщика или при передаче через сети связи.T1195
Т7.25Подмена ссылок на легитимные программы и библиотеки, а также на легитимные обновления программного обеспечения, поставляемые производителем удаленно через сети связи, информации о таких обновлениях, включая атаки на инфраструктурные сервисы поставщика (такие как DNS hijacking), атаки на третьесторонние ресурсы, атаки на электронную почту и другие средства обмена сообщениями.T1195
Т7.26Подмена дистрибутивов (установочных комплектов) программ на носителях информации или общих сетевых ресурсах.T1195
Т7.27Компрометация сертификата, используемого для цифровой подписи образа ПО, включая кражу этого сертификата у производителя ПО или покупку краденого сертификата на нелегальных площадках в сетях связи (т.н. «дарквеб») и подделку сертификата с помощью эксплуатации уязвимостей ПО, реализующего функции генерирования криптографических ключей, хранения и управления цифровыми сертификатамиT1588
Т7.28Компрометация средств создания программного кода приложений в инфраструктуре разработчика этих приложений (компиляторов, линковщиков, средств управления разработкой) для последующего автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системыT1072
T1195
Т7.29Компрометация средств сборки, конфигурирования и разворачивания программного кода, а также средств создания узкоспециализированного кода (к примеру, кода промышленных контроллеров), в инфраструктуре целевой системы, для автоматизированного внесения изменений в этот код, устанавливаемый авторизованным пользователем на целевые для нарушителя системыT1072
Т8.1Эксплуатация уязвимостей для повышения привилегий в системе или сети для удаленного выполнения программного кода для распространения доступаT1068
Т8.2Использование средств и интерфейсов удаленного управления для получения доступа к смежным системам и сетямT1219
T1021
Т8.3Использование механизмов дистанционной установки программного обеспечения и конфигурирования.T1021
T1072
Т8.4Удаленное копирование файлов, включая модули вредоносного программного обеспечения и легитимные программные средства, которые позволяют злоумышленнику получать доступ к смежным системам и сетямT1570
Т8.5Изменение конфигурации сети, включая изменение конфигурации сетевых устройств, организацию прокси-соединений, изменение таблиц маршрутизации, сброс и модификацию паролей доступа к интерфейсам управления сетевыми устройствамиT1090
Т8.6Копирование вредоносного кода на съемные носителиT1091
Т8.7Размещение вредоносных программных модулей на разделяемых сетевых ресурсах в сетиT1080
Т8.8Использование доверенных отношений скомпрометированной системы и пользователей этой системы с другими системами и пользователями для распространения вредоносного программного обеспечения или для доступа к системам и информации в других системах и сетях.T1199
Т9.1Доступ к системе для сбора информации и вывод информации через стандартные протоколы управления (например, RDP, SSH), а также использование инфраструктуры провайдеров средств удаленного администрирования.T1021
Т9.2Доступ к системе для сбора информации и вывод информации через использование штатных средств удаленного доступа и управления операционной системыT1219
Т9.3Вывод информации на хорошо известные порты на внешних серверах, разрешенные на межсетевом экране (SMTP/25, HTTP/80, HTTPS/443 и др.)T1599
T1104
T1567
Т9.4Вывод информации на нестандартные порты на внешних серверах, что в некоторых случаях позволяет эксплуатировать уязвимости средств сетевой фильтрации для обхода этих средствT1571
Т9.5Отправка данных по известным протоколам управления и передачи данныхT1041
Т9.6Отправка данных по собственным протоколамT1048
T1011
Т9.7Проксирование трафика передачи данных для маскировки подозрительной сетевой активности, обхода правил на межсетевом экране и сокрытия адресов инфраструктуры нарушителей, дублирование каналов связи, обфускация и разделение трафика передачи данных во избежание обнаружения.T1090
T1599
T1048
T1140
Т9.8Туннелирование трафика передачи данных через VPNT1572
Т9.9Туннелирование трафика управления в поля заполнения и данных служебных протоколов, к примеру, туннелирование трафика управления в поля данных и заполнения протоколов DNS, ICMP или другиеT1572
Т9.10Вывод информации через съемные носители, в частности, передача данных между скомпрометированными изолированной системой и подключенной к Интернет системой через носители информации, используемые на обеих системахT1052
Т9.11Отправка данных через альтернативную среду передачи данных.T1048
Т9.12Шифрование выводимой информации, использование стеганографии для сокрытия факта вывода информацииT1001
T1048
Т9.13Вывод информации через предоставление доступа к файловым хранилищам и базам данных в инфраструктуре скомпрометированной системы или сети, в том числе путем создания новых учетных записей или передачи данных для аутентификации и авторизации имеющихся учетных записейT1074
Т9.14Вывод информации путем размещения сообщений или файлов на публичных ресурсах, доступных для анонимного нарушителя (форумы, файлообменные сервисы, фотобанки, облачные сервисы, социальные сети)T1567
Т10.1Несанкционированный доступ к информации в памяти системы, файловой системе, базах данных, репозиториях, в программных модулях и прошивкахОтсутствует
Т10.2Несанкционированное воздействие на системное программное обеспечение, его конфигурацию и параметры доступаОтсутствует
Т10.3Несанкционированное воздействие на программные модули прикладного программного обеспеченияОтсутствует
Т10.4Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прикладного программного обеспеченияОтсутствует
Т10.5Несанкционированное воздействие на программный код, конфигурацию и параметры доступа системного программного обеспеченияОтсутствует
Т10.6Несанкционированное воздействие на программный код, конфигурацию и параметры доступа прошивки устройстваT1495
Т10.7Подмена информации (например, платежных реквизитов) в памяти или информации, хранимой в виде файлов, информации в базах данных и репозиториях, информации на неразмеченных областях дисков и сменных носителейT1565
Т10.8Уничтожение информации, включая информацию, хранимую в виде файлов, информацию в базах данных и репозиториях, информацию на неразмеченных областях дисков и сменных носителейT1485
Т10.9Добавление информации (например, дефейсинг корпоративного портала, публикация ложной новости)T1491
Т10.10Организация отказа в обслуживании одной или нескольких систем, компонентов системы или сетиT1499
T1498
Т10.11Нецелевое использование ресурсов системы.T1496
Т10.12Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или нарушения функций управления, в том числе на АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектов.Отсутствует
Т10.13Несанкционированное воздействие на автоматизированные системы управления с целью вызова отказа или поломки оборудования, в том числе АСУ критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектовОтсутствует
Т10.14Отключение систем и средств мониторинга и защиты от угроз промышленной, физической, пожарной, экологической, радиационной безопасности, иных видов безопасности, в том числе критически важных объектов, потенциально опасных объектов, объектов, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных производственных объектовОтсутствует
Т10.15Воздействие на информационные ресурсы через системы распознавания визуальных, звуковых образов, системы геопозиционирования и ориентации, датчики вибрации, прочие датчики и системы преобразования сигналов физического мира в цифровое представление с целью полного или частичного вывода системы из строя или несанкционированного управления системой.Отсутствует

 

Делитесь, это не гостайна
Бизнес без опасности