ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ВРЕМЕННЫЙ РЕГЛАМЕНТ
ПЕРЕДАЧИ ДАННЫХ УЧАСТНИКОВ ИНФОРМАЦИОННОГО ОБМЕНА
В ЦЕНТР МОНИТОРИНГА И РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ АТАКИ
В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ БАНКА РОССИИ
(ВЕРСИЯ 2.3)
1. Общие положения
1.1. Настоящий Регламент определяет формат и сроки предоставления информации участником информационного взаимодействия в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Главного управления Банка России (далее - ФинЦЕРТ) (приложение к настоящему Регламенту).
1.2. Настоящий регламент служит для апробации выбранных форматов передачи данных и внесения соответствующих изменений по результатам апробации.
1.3. Предложения по оптимизации выбранного формата передачи данных необходимо направлять на адрес электронной почты info_fincert@cbr.ru с темой сообщения [оптимизация формата передачи].
2. Порядок передачи информации Участником
информационного взаимодействия
2.1. Передача информации, приведенной в приложении к настоящему Регламенту, осуществляется с использованием электронной почты на адрес fincert@cbr.ru.
2.2. По желанию передающей стороной данные могут передаваться в архиве с паролем, при этом пароль должен быть доведен до работников ФинЦЕРТ с использованием альтернативных каналов связи. Требования к сложности пароля определяются передающей стороной.
2.3. В случае передачи на исследование образцов вредоносного программного обеспечения (вирусов) образцы передаются в ФинЦЕРТ в архиве (rar или zip) с паролем, при этом пароль должен быть одним из следующих: virus или infected. В случае, если в передаваемом архиве не установлен пароль, то он удаляется автоматически.
ПЕРЕЧЕНЬ
ИНФОРМАЦИИ, ПРЕДОСТАВЛЯЕМОЙ УЧАСТНИКОМ ИНФОРМАЦИОННОГО
ОБМЕНА В ЦЕНТР МОНИТОРИНГА И РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ
АТАКИ В КРЕДИТНО-ФИНАНСОВОЙ СФЕРЕ ГЛАВНОГО УПРАВЛЕНИЯ
БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ БАНКА РОССИИ
1. Основные обозначения
КАРТОЧКА - Код (INT)
Направлен на инфраструктуру организации (внутренний)
Код (MLW)
- Выявление вредоносного ПО (в т.ч. целевая атака (APT)). Учитываются атаки на любые устройства инфраструктуры (в том числе банкоматы, электронные и платежные терминалы) при выполнении хотя бы одного из условий:
- Выявление вредоносного кода, не определяемого антивирусным ПО или определяемого не более 5 антивирусами на Virus Total;
- Обнаружение на объекте информационной инфраструктуры антивирусным ПО или иными СЗИ вредоносного ПО или подозрительного ПО, направленного на этот объект информационной инфраструктуры, согласно вердикту антивирусного ПО или иного СЗИ;
- Обнаружение на объекте информационной инфраструктуры подозрительных файлов (процессов), в т.ч. неисполняемых, недетектируемых антивирусным ПО или хостовыми системами обнаружения вторжений (HIPS).
Код (DOS)
- Выявление DoS/DDoS, сбоев в работе оборудования и каналов связи, вызванных внешними причинами
Код (BAN)
- Физическое и/или логическое воздействие на объекты информационной инфраструктуры.
Физическое воздействие - установка скиммингового оборудования, несанкционированный доступ к интерфейсам управления (в т.ч. банкоматов и терминалов), повреждение оборудования с целью установки сторонних аппаратных устройств или хищения находящихся в устройстве денежных средств.
Логическое воздействие - внедрение стороннего программного обеспечения либо модификация существующих настроек системного программного обеспечения.
Код (URL)
- Выявление ресурсов в информационно-телекоммуникационной сети Интернет, связанных с финансовой сферой (в т.ч. приобретение товаров или услуг), содержащих противоправный контент либо недостоверную информацию, в частности фишинговой направленности. К данному виду инцидентов также относятся ресурсы, предназначенные для распространения вредоносного кода, включая ресурсы, используемые для рассылки мошеннических электронных писем, а также центры управления бот-сетями.
В рассматриваемые инциденты могут быть включены сведения о ресурсах соответствующей направленности, выявленных клиентами организации. Также могут быть включены обнаруженные ссылки на скачивание ВК либо ссылки, определяемые как подозрительные/вредоносные антивирусным ПО/иным СЗИ.
Код (SOI)
- Выявление телефонных номеров и почтовых электронных писем, используемых для распространения недостоверной информации, вредоносного содержимого и (или) побуждения работника организации к совершению несанкционированных действий путем обмана или злоупотребления доверием (включая письма, содержащие угрозы в адрес организации).
Код (EXP)
- Выявление попыток эксплуатации уязвимостей. К эксплуатации уязвимостей относится, например, использование SQL инъекций. Кроме того, к эксплуатации уязвимостей относятся действия внутреннего нарушителя. Попытки эксплуатации могут быть выявлены как средствами IDS/IPS/HIPS, так и специалистами организации либо в результате обращения гражданина в организацию о возможной попытке эксплуатации уязвимости в отношении организации.
Код (BRT)
- Выявление попыток взлома учетных записей (как внутри сети, так и на веб-ресурсах, принадлежащих организации) посредством автоматизированного подбора комбинаций паролей и логинов. Условия уведомления приведены в описании кода.
Код (SCN)
- Выявление попыток сканирования портов для взлома сети. Условия уведомления приведены в описании кода.
Код (OTH)
- Прочее.
КАРТОЧКА - Код (EXT)
Направлен на клиента организации (внешний).
Код (MLW) - Совершение несанкционированного перевода денежных средств в результате воздействия вредоносного ПО.
Код (SOI) - Совершение несанкционированного перевода денежных средств в результате обмана или злоупотребления доверием.
Код (SIM) - Совершение несанкционированного перевода денежных средств в результате изменения IMSI SIM-карты, смена IMEI телефона.
Код (P2P) - Совершение несанкционированного перевода денежных средств в результате использования фишингового ресурса.
Код (LST) - Совершение несанкционированного перевода денежных средств в результате утраты электронного средства платежа.
Код (OTH) - Совершение несанкционированного перевода денежных средств в результате иных причин.
КАРТОЧКА - Код PUB
Информация о планируемых мероприятиях по раскрытию информации об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, включая размещение информации на официальных сайтах в информационно-телекоммуникационной сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций.
2. Информация об инциденте (Электронная форма Инцидента)
| Наименование поля | Описание | ||
| Описание поля | Формат данных | Пример | |
| Служебные свойства инцидента | |||
| Тип документа | Служебное поле Описывает тип документа | Только "incident" | incident |
| Версия документа | Служебное поле Описывает версию документа | X.Y | 1.0 |
| Количество правок (редакций) документа | Служебное поле Описывает количество правок (редакций) документа | int32 | 4 |
| Хэш файла | Служебное поле Хэш md5 всего содержимого документа (за исключением поля hash), служит для индикации случайного повреждения документа | md5 hash | 0ba8927585c7824320ad959f8eb4dc6e |
| Базовые свойства инцидента | |||
| Идентификатор инцидента со стороны участника | Идентификатор инцидента. Участником генерируется в формате yyyyMMddHHmmss (yyyy = год, MM = месяц, dd = день, hh = часы, mm = минуты, ss = секунды)' | yyyyMMddHHmmss | "20170901112233" |
| Дата и время публикации инцидента | дата и время публикации инцидента | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Дата и время последнего изменения инцидента | Дата и время последнего изменения инцидента | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Дата и время фиксации КИ | Дата и время фиксации КИ | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Идентификатор организации | Идентификатор организации (уникальный номер организации, напр. номер лицензии Банка России) | int32 | 4 |
| Тип организации | Тип организации Значение из списка | - 1 #=КО - 2 #=НКО - 3 #=МФО - 4 #=Страховая организация - 5 #=Вендор ИБ - 6 #=Иные государственные организации - 7 #=Иные коммерческие организации - 8 #=Иностранные организации - 9 #=CERTы (в т.ч. иностранные) - для возможности организации адресных рассылок | 4 |
| Описание инцидента | Описание инцидента | string | "Инцидент был обнаружен при... и т.д." |
| Место происшествия инцидента | Место происшествия инцидента | ||
| Субъект федерации | Код ОКАТО верхнего уровня (2 цифры - обязательно) | Код ОКАТО верхнего уровня из 2-х цифр | "10" |
| Название населенного пункта | Название населенного пункта | String | "Москва" |
| Принятые меры | Меры, принятые участником для ликвидации последствий инцидента | string | "В рамках инцидента было сделано.." |
| Ущерб в результате инцидента. | Ущерб в результате инцидента. Пустое поле означает отсутствие ущерба | string | "Потеряны важные данные" |
| Показывает, нужна ли консультация/помощь FinCERT | Показывает, нужна ли консультация/помощь FinCERT | - HLP - NND | HLP |
| Основной верхнеуровневый код инцидента | Основной верхнеуровневый код инцидента (куда направлен): на инфраструктуру организации/в организации или на клиента/у клиента | - EXT - INT | EXT |
| Код конкретного типа инцидента | Код конкретного типа инцидента | # Общие для векторов EXT и INT - MLW - SOI - OTH | DOS |
| # Специфичный для вектора INT - DOS - BAN - EXP - BRF - SPM - BCC - PHI - MLR | |||
| # Специфичный для вектора EXT - SIM - P2P - LST | |||
| Вложения к инциденту | Заполняется следующими данными: - комментарий к вложению; - файл (имя файла + размер файла в байтах - если размер меньше 5 МБ + base64 файла); - url адрес для скачивания файла (если размер больше 5 МБ), с использованием протоколов FTP, HTTP, HTTPS | ||
| Примечание к вложению | Примечание к вложению | string | В этом файле/архиве находятся логи |
| Время, когда файл был прикреплен | Время, когда файл был прикреплен | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Информация о прикрепленном файле | Информация о прикрепленном файле | ||
| Имя файла | Имя файла | string | |
| Размер файла в байтах | Размер файла в байтах | string | |
| Файл в формате base64 | Файл в формате base64 | string | |
| Ссылка на файл | Внешняя ссылка на скачивание (если размер файла больше 5 МБ) | string | http://drive.google.com/asdasdasd |
| Вектор инцидента (vectors) | |||
| EXT (Направлен на клиента организации) | |||
| Способ осуществления несанкционированной операции | Способ осуществления несанкционированной операции | - SMS # SMS банкинг - MBB # Приложение для мобильного банкинга - BRW # Интернет-банкинг - PCW # Система "Банк-клиент" - ATM # Банкомат - POS # POS терминал - SST # Платежный терминал - CNP # E-commerce. Платежи в сети интернет без предъявления карты | POS |
| Способ перевода | Способ перевода | ||
| Тип способа перевода | Тип способа перевода | - ACC # Перевод по номеру счета - PLC # Перевод по номеру карты - OTH # Иное | ACC |
| Примечание к выбранному значению | Примечание к выбранному значению | string | "" |
| Трансграничность | Трансграничность | - CRB # Трансграничный перевод - DOM # Внутри страны | CRB |
| Дополнительное подтверждение транзакции | Дополнительное подтверждение транзакции | - 3DS # Транзакция подтверждена с использованием 3D Secure - OAA # Иной способ подтверждения - NAA # Транзакция без подтверждения | OAA |
| Информация об обращении в правоохранительные органы | Информация об обращении в правоохранительные органы | - POL # Обращение есть - NPL # Обращения нет - UNK # Клиент не предоставил информацию | UNK |
| INT (Направлен на инфраструктуру организации) | |||
| Сработавшие сигнатуры | Список сработавших сигнатур | ||
| Идентификатор сигнатуры | Идентификатор сигнатуры | string | Sid 1-1298 |
| Средство обнаружения | Средство обнаружения | string | |
| Источник получения сигнатуры | Источник получения сигнатуры | string | |
| Количество сработок сигнатуры | Количество сработок сигнатуры | int32 | |
| Влияние инцидентов (impacts) | |||
| MLW (Вредоносное программное обеспечение) | |||
| Внешний IP-адрес ЭВМ | Указывается IP-адрес, с которым зараженная ЭВМ получает доступ в интернет | IPv4 | |
| Выявленные взаимодействия с ЦУ или другими ресурсами | Заполняется в случае выявления взаимодействия зараженной ЭВМ с каким-либо доменным именем или IP-адресом, которые могут являться ЦУ или другим вредоносным ресурсом. | ||
| Возможные значения: - доменное имя; - IP-адрес; - URL | |||
| Поле может содержать несколько значений | |||
| Доменное имя | Доменное имя | domain | |
| IP-адрес | IP-адрес | IPv4 | |
| URL | URL | URL | |
| Классификаторы | Заполняется по мере поступления информации и содержит тип выявленного ВПО по классификации какого-либо АВС: - наименование АВС; - тип ВПО | ||
| Поле может содержать несколько значений | |||
| Наименование АВС | Наименование антивирусной системы | string | Касперский |
| Классификатор | Как ВПО классифицирует указанная антивирусная система | string | Вирус |
| Образцы ВПО | Коллекция Образцов ВПО. Один образец может характеризоваться: - или хэшем - или прикрепленным вложением | ||
| Контрольная сумма выявленного образца ВПО | Заполняется контрольными суммами выявленного образца ВПО. Для каждого образца ВПО должна быть своя хеш-сумма | ||
| Контрольная сумма в формате MD5 | Контрольная сумма в формате MD5 | string | |
| Контрольная сумма в формате SHA-1 | Контрольная сумма в формате SHA-1 | string | |
| Контрольная сумма в формате SHA-256 | Контрольная сумма в формате SHA-256 | string | |
| Файл ВПО | Заполняется в случае передачи вместе с ККИ файла, выявленного ВПО. | Формат из секции attachments базовых полей инцидента | |
| Образец выявленного ВПО должен быть заархивирован в формате RAR с использованием пароля "infected". Размер файла не должен превышать 5 МБ | |||
| Адреса электронных почтовых ящиков, с которых поступило письмо с вложением | Заполняется в случае, если ВПО было прислано на электронный почтовый ящик ведомства. В поле также должен быть указан IP-адрес последнего почтового сервера, через который было передано письмо. | ||
| Поле может содержать несколько значений | |||
| Адрес электронного почтового ящика отправителя | Адрес электронного почтового ящика отправителя | | |
| IP-адрес последнего почтового сервера | IP-адрес последнего почтового сервера | IPv4 | |
| Имя файла с исходным кодом электронного письма | Заполняется в случае, если ВПО было прислано на электронный почтовый ящик ведомства. Указываются имя и размер прикрепленного файла | Формат из секции attachments базовых полей инцидента | |
| Адрес вредоносного ресурса, с которого было загружено ВПО | Заполняется в случае, если ВПО было скачано по ссылке, присланной на электронный почтовый ящик ведомства. | string | |
| Возможные значения: - доменное имя; - IP-адрес; - URL (также URL ресурса, с которого пользователь лично скачал ВПО) | |||
| Доменное имя | Доменное имя | string | |
| IP-адрес | IP-адрес | string | |
| URL | URL | string | |
| Выявленные индикаторы компрометации | В случае, если участник обладает какими-то индикаторами компрометации (IOC), их можно указать | ||
| Сетевые индикаторы | Сетевые индикаторы | ||
| Обращение по IP-адресу/URL | Обращение по IP-адресу/URL | string | |
| Модификация текущих сетевых настроек | Модификация текущих сетевых настроек | string | |
| Сокрытие следов сетевого взаимодействия | Сокрытие следов сетевого взаимодействия (удаление маршрутов, записей журналов сетевых устройств и т.д.) | string | |
| Файловые индикаторы | Файловые индикаторы | ||
| Создание | Создание | string | |
| Изменение | Изменение | string | |
| Удаление файлов | Удаление файлов | string | |
| Индикаторы реестра ОС Windows | Индикаторы реестра ОС Windows | ||
| Создание | Создание | string | |
| Изменение | Изменение | string | |
| Удаление файлов | Удаление файлов | string | |
| Индикаторы, связанные с процессами | Индикаторы, связанные с процессами | ||
| Запуск процесса | Запуск процесса | string | |
| Изменение запущенного процесса | Изменение запущенного процесса | string | |
| Завершение процесса | Завершение процесса | string | |
| Иные индикаторы | Иные индикаторы | string | |
| Отчет средств динамического анализа кода в виде вложения | Отчет средств динамического анализа кода в виде вложения | Формат из секции attachments базовых полей инцидента | |
| Предполагаемый способ заражения | Предполагаемый способ заражения | ||
| Тип предполагаемого способа заражения | Тип предполагаемого способа заражения | EML # По каналам электронной почты DSD # С носителя информации LCL # Распространение по локальной сети OTH # Иной способ | |
| Примечание к выбранному типу | Примечание к выбранному типу | string | |
| SOI (социальная инженерия) | |||
| Тип социальной инженерии | Тип социальной инженерии | - MOB # Звонок с мобильного телефонного номера - TPH # Звонок с телефонного номера 8800 - SMS # СМС-сообщение - SNW # Социальная инженерия с использованием социальных сетей - MSG # Социальная инженерия с использованием средств мгновенных сообщений | |
| Дополнительное описание | Дополнительное описание | string | |
| Номер телефона в формате +7(XXX) XXXXXXX | В случае кодов (MOB) (TPH) - дополнительно в формате +7(XXX) XXXXXXX указать номер телефона. В случае кодов (SMS) (SNW) (MSG) указание номера отправителя. | ||
| Вложение к секции | В случае кодов (SMS) (SNW) (MSG) дополнительно приложить фотографию (Файл) сообщения | Формат из секции attachments базовых полей инцидента | |
| OTH (другое) | |||
| Другое | Другое | ||
| Примечание | Примечание | string | |
| DDOS/DOS (Отказ в обслуживании) | |||
| Список описаний DOS атак | |||
| Пострадавший ресурс | Пострадавший ресурс Заполняется любое из вложенных полей или их комбинация | ||
| Адрес ресурса | Адрес ресурса | IPv4 | |
| Назначение ресурса | Назначение ресурса | string | |
| Доменное имя | Доменное имя | domain | |
| URL | URL | url | |
| Тип сервиса | Тип сервиса (ssh, ftp и т.д.) в свободной форме | string | |
| Пострадавшая сеть | Пострадавшая сеть | string | |
| Источники атаки | Источники атаки, список IP адресов | ||
| Адрес ресурса | Адрес ресурса | IPv4 | |
| Тип атаки | Тип атаки | ||
| Тип | Тип | - 1 # "L2/3: ICMP-flood" - 2 # "L2/3: NTP-amplification" - 3 # "L2/3: TFTP-amplification" - 4 # "L2/3: SENTINEL-amplification" - 5 # "L2/3: DNS-amplification" - 6 # "L2/3: SNMP-amplification" - 7 # "L2/3: SSDP-amplification" - 8 # "L2/3: CHARGEN-amplification" - 9 # "L2/3: RIPv1-amplification" - 10 # "L2/3: BitTorrent-amplification" - 11 # "L2/3: QTPD-amplification" - 12 # "L2/3: Quake-amplification" - 13 # "L2/3: LDAP-amplification" - 14 # "L2/3: 49ad34-amplification" - 15 # "L2/3: Portmap-amplification" - 16 # "L2/3: Kad-amplification" - 17 # "L2/3: NetBIOS-amplification" - 18 # "L2/3: Steam-amplification" - 19 # "L3: DPI-attack" - 20 # "L4: LAND-attack" - 21 # "L4: TCP-SYN-attack" - 22 # "L4: TCP-ACK-attack" - 23 # "L4: Smurf-attack" - 24 # "L4: ICMP/UDP-frag" - 25 # "L4: TCP-frag" - 26 # "L6: SSL-attack" - 27 # "L7: DNS Water Torture Attack" - 28 # "L7: Wordpress Pingback DDoS" - 29 # "L7: DNS-flood" - 30 # "L7: HTTP/S-flood" - 31 # "L7: FTP-flood" - 32 # "L7: SMTP-flood" - 33 # "L7: VoIP/SIP-attack" - 34 # "L7: POP3-flood" - 35 # "L7: SlowRate-attack" - 36 # "Другое" | |
| Примечание к выбранному типу | Примечание к выбранному типу | string | |
| Мощность атаки | Мощность атаки | ||
| Количество пакетов в секунду | Количество пакетов в секунду | number | |
| Количество мегабит в секунду | Количество мегабит в секунду | number | |
| Количество запросов в секунду | Количество запросов в секунду | number | |
| Время начала | Время начала | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Время окончания | Время окончания | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| Негативное влияние | Негативное влияние | ||
| Тип негативного влияния | Тип негативного влияния | NAW # Прерывание доступности ресурса OTH # Иные негативные последствия NCQ # Негативного влияния не было | NAW |
| Примечание к выбранному типу | Примечание к выбранному типу | string | |
| BAN (Физическое воздействие на систему) | |||
| Объект, подвергшийся воздействию | Объект, подвергшийся воздействию | ||
| Тип объект, подвергшийся воздействию | Тип объект, подвергшийся воздействию | - ATM # Банкомат - CIN # Банкомат с возможностью приема наличных денежных средств - RES # Банкомат с функцией ресайклинга (recycling) - POS # POS-терминал - SST # Платежный терминал - OTH # Иной объект | |
| Примечание к выбранному значению | Примечание к выбранному значению | string | |
| Тип атаки | Тип атаки | ||
| Тип | Тип | - BBX # Атаки "блэкбокс" - DSP # Атаки "прямой диспенс" и их разновидности - SKM # Скимминг - OTH # Иная атака | |
| Примечание к выбранному значению | Примечание к выбранному значению | string | |
| Вложение к секции | Формат из секции attachments базовых полей инцидента | ||
| SIM (Атака с подменой номера) | |||
| Название оператора связи | Название оператора связи | string | |
| LST (Утрата электронного средства платежа) | |||
| Дата направления информации об утрате ЭСП | Дата направления информации об утрате ЭСП | yyyyMMdd HH:mm:ss UTC+z | "20170901 11:22:33 UTC+3" |
| EXP (Эксплуатация уязвимости) | |||
| Информация о пострадавшей ЭВМ | Информация о пострадавшей ЭВМ | ||
| IP-адрес | IP-адрес | IPv4 | |
| Доменное имя | Доменное имя | domain | |
| URL | URL | url | |
| Тип сервиса | Тип сервиса | string | |
| Источники атаки | Указывается IP-адрес, с которого была выявлена эксплуатация какой-либо уязвимости. Также URL ресурса, при заходе на который была поэксплуатирована уязвимость. | ||
| IP-адрес | IP-адрес | IPv4 | |
| Адрес ресурса | Адрес ресурса | url | |
| Идентификатор уязвимости | В случае выявления факта эксплуатации уязвимости неправильно настроенного сетевого сервиса необходимо указать его тип и описание уязвимости. Если выявлена уязвимость программного обеспечения, должен быть указан ее тип по классификации ФСТЭК, CVE, MS или другой | string | CVE-123123 |
| Метрика CVSS | Указать метрику CVSS v 3.0 (если определена) (указать максимально возможное количество метрик из перечисленных: базовая метрика, временная метрика, контекстная метрика, метрика окружения) | Формат CVSS | |
| Формирование CVSS вручную | Поля ниже заполняются только при отсутствии CVE ID/CVSS | ||
| Вектор атаки | Вектор атаки | - NET # Сетевой - ASN # Соседняя сеть - LOC # Локальный - PHY # Физический | NET |
| Сложность эксплуатации | Сложность эксплуатации | - HGH # Высокий уровень сложности эксплуатации - LOW # Низкий уровень сложности эксплуатации - NON # Затрудняюсь определить | LOW |
| Требуемый уровень привилегий | Требуемый уровень привилегий | - ADM # Высокий (административный) уровень привилегий - USR # Низкий (пользовательский) уровень привилегий - NON # Аутентификация для эксплуатации не требуется | NON |
| Необходимость взаимодействия с пользователем | Необходимость взаимодействия с пользователем | - MAN # Действия требуются - AUT # Действия не требуются | MAN |
| Влияние на конфиденциальность | Влияние на конфиденциальность | - NON # Отсутствует - MDL # Среднее - HGH # Высокое | MON |
| Влияние на целостность | Влияние на целостность | - NON # Отсутствует - MDL # Среднее - HGH # Высокое | MON |
| Влияние на доступность | Влияние на доступность | - NON # Отсутствует - MDL # Среднее - HGH # Высокое | MON |
| P2P (Фишинговый ресурс) | |||
| URL ресурса | URL ресурса | url | |
| BRF (Подбор паролей) | |||
| Адрес пострадавшей системы | Адрес пострадавшей системы | ||
| IP-адрес | IP-адрес | IPv4 | |
| URL | URL | url | |
| Тип Сервиса | Заполняется по мере поступления данных и содержит информацию о типе сетевого сервиса, на который была направлена атака | string | |
| Источники атаки | Источники атаки | ||
| IP-адрес | IP-адрес | IPv4 | |
| Информация о скомпрометированной учетной записи | Заполняется информацией о скомпрометированной учетной записи. Указываются учетная запись пользователя и ее полномочия | ||
| Учетная запись | Учетная запись | string | iivanov |
| Привилегии | Привилегии | string | "Администратор" |
| SPM (Спам) | |||
| Адресаты рассылки спама | Адресаты рассылки спама | ||
| Адрес электронной почты | Адрес электронной почты | | |
| Источники рассылки | Доменное имя и IP-адрес ресурса, с которого рассылался спам | ||
| IP-адрес | IP-адрес | IPv4 | |
| Доменное имя | Доменное имя | domain | |
| PHI (Фишинг) | |||
| Адрес легитимного ресурса | В данном поле указываются доменное имя и/или IP-адрес легитимного ресурса | ||
| IP-адрес | IP-адрес | IPv4 | |
| Доменное имя | Доменное имя | domain | |
| Адрес фишингового ресурса | Указываются URL и IP-адрес ресурса, на котором была размещена фишинговая информация | ||
| IP-адрес | IP-адрес | IPv4 | |
| URL | URL | url | |
| MLR (Вредоносный ресурс) | |||
| Информация о пострадавшей системе | Указываются URL и IP-адрес, на которых был выявлен вредоносный ресурс | ||
| IP-адрес | IP-адрес | IPv4 | |
| URL | URL | url | |
| Описание вредоносной активности | Описание вредоносной активности | string | |
3. Типовая форма описания угрозы (Электронная форма Угрозы)
| Название поля | Описание поля (должно быть представлено в качестве подсказки при заполнении) | Пример | ||||
| Наименование угрозы | Текстовое поле Информация об угрозе, на основе которой возможно установить причину и (или) последствия угрозы. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости) | Вредоносный код JS.Downloader | ||||
| Идентификатор угрозы | Текстовое поле (присваивается автоматически разрабатываемой системой) Представляет собой алфавитно-цифровой код, включающий код базы данных угроз (ФинЦЕРТ), код угрозы, год, месяц и дату выявления угрозы, и порядковый номер угрозы, выявленной за текущий день. При определении идентификатора угрозы код базы данных уязвимостей, код угрозы, дату выявления угрозы и ее порядковый номер должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится. | FinCERT-BK-2016-1234 | ||||
| Наименование угрозы | Код угрозы | |||||
| Вредоносное программное обеспечение | ВК | |||||
| Эксплуатация уязвимости | ЭУ | |||||
| DDoS | ОО | |||||
| ЦУ бот-сети | ЦУ | |||||
| Фишинг | ФШ | |||||
| Вредоносный ресурс | ВР | |||||
| другое | ДР | |||||
| Краткое описание угрозы | Текстовое поле Представляет собой текстовую информацию об угрозе и возможностях ее использования | Вредоносный код представляет собой загрузчик шифровальщика | ||||
| Класс угрозы | Текстовое поле (выбор из закрытого списка) - Вредоносное программное обеспечение | |||||
| Индикаторы компрометации | Текстовые поля | |||||
| В формате Yara (если есть) | ||||||
| В формате Open IOC (если есть) | ||||||
| В формате XML (если есть) | ||||||
| Иные форматы | ||||||
| Антивирусные решения, детектирующие ВПО | Текстовое поле | |||||
| - Эксплуатация уязвимости | ||||||
| Идентификатор уязвимости | Текстовое поле с возможностью перехода на карточку уязвимости (Стандартизированный (CVE, ФСТЭК)) | |||||
| Описание методики эксплуатации | Текстовое поле с возможностью вставки изображений (Допускается ссылка на POC (proof of concept) уязвимости) | |||||
| - DDoS | ||||||
| Атакующие IP адреса | Текстовое поле | |||||
| Тип атаки | Текстовое поле | |||||
| Прогнозируемое усиление (если есть) | Текстовое поле | |||||
| Прогнозируемая мощность (если есть) | Текстовое поле | |||||
| - ЦУ бот-сети | ||||||
| IP-адрес или доменное имя | Текстовое поле | |||||
| Тип и общие сведения о бот-сети | Текстовое поле | |||||
| Каким образом выявлен | Текстовое поле | |||||
| - Фишинг | ||||||
| IP-адрес или доменное имя ресурса | Текстовое поле | |||||
| Дата обнаружения ресурса | Дата | |||||
| Технические заголовки письма (при наличии) | Текстовое поле | |||||
| Текст письма (при наличии) | Текстовое поле | |||||
| - Вредоносный ресурс | ||||||
| IP-адрес или доменное имя ресурса | Текстовое поле | |||||
| Дата обнаружения ресурса | Дата | |||||
| Причины, почему ресурс подозревается вредоносным | Текстовое поле | |||||
| - Мошеннический телефонный номер | ||||||
| Дата и время звонка (смс) | Дата | |||||
| Текст смс | Текстовое поле | |||||
| Номер (сотовый, 8-800 и др.) | Текстовое поле (с ограничением на ввод только цифр) | |||||
| - другое | ||||||
| Дата выявления угрозы | Дата Представляет собой информацию о дате выявления угрозы в формате ДД/ММ/ГГГГ. Дата выявления угрозы в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных угроз. | 01/01/2016 | ||||
| Автор, опубликовавший информацию о выявленной уязвимости | Текстовое поле Представляет собой информацию об авторе (участник информационного обмена/FinCERT/другое), который обнаружил и опубликовал угрозу первым. Может быть приведена ссылка на ресурс в сети интернет | |||||
| Способ (правило) обнаружения уязвимости | Текстовое поле (с возможностью вложения файла) Представляет собой формализованное правило определения реализации угрозы. Поле должно включать в себя имя автора правила - участника информационного обмена | |||||
| Возможные меры по устранению уязвимости | Текстовое поле Предложения и рекомендации по устранению выявленных угроз или исключению возможности использования нарушителем выявленных угроз. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации не являются актуальными. | |||||
| Прочая информация | Текстовое поле | |||||
4. Типовая форма описания уязвимости
(Электронная форма Уязвимости)
| Название поля | Описание поля (должно быть представлено в качестве подсказки при заполнении) | Пример |
| Наименование уязвимости | Текстовое поле Информация об уязвимости, на основе которой возможно установить причину и (или) последствия уязвимости. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости) | Уязвимость, приводящая к переполнению буфера в службе RPC DCOM в операционных системах Microsoft Windows 4.0/2000/ХР/2003 (Vulnerability Windows XP RPCSS DCOM Buffer Overflow). |
| Идентификатор уязвимости | Текстовое поле (присваивается автоматически разрабатываемой системой) Представляет собой алфавитно-цифровой код, включающий код базы данных уязвимостей (FinCERT), год выявления уязвимости и порядковый номер уязвимости, выявленной в текущем году. При определении идентификатора уязвимости код базы данных уязвимостей, год выявления уязвимости и порядковый номер уязвимости должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится. | FinCERT-2016-1234 |
| Идентификаторы других систем описаний уязвимостей | Текстовое поле Представляет собой идентификаторы уязвимости в других системах описаний. Данный элемент включает идентификаторы уязвимости из общедоступных источников и содержит, как правило, цифровой или алфавитно-цифровой код. Описание может быть выполнено в виде гиперссылок в формате адресов URL. | CVE ID: CVE-2003-0313 |
| Краткое описание уязвимости | Текстовое поле Представляет собой текстовую информацию об уязвимости и возможностях ее использования | Уязвимость обнаружена в службе RPC DCOM. Нарушитель может вызвать отказ в обслуживании (аварийное завершение работы системы или перезагрузка), создавая два потока для одного и того же RPC-запроса. По сообщению разработчика, уязвимость может использоваться для выполнения произвольного кода в уязвимой системе. Разработчик оценил, что уязвимость имеет "критический" уровень опасности. |
| Класс уязвимости | Текстовое поле (выбор из закрытого списка): - Уязвимость кода Уязвимость, появившаяся в процессе разработки программного обеспечения. - Уязвимость конфигурации Уязвимость, появившаяся в процессе задания конфигурации (применения параметров настройки) программного обеспечения и технических средств информационной системы. - Уязвимость архитектуры Уязвимость, появившаяся в процессе проектирования информационной системы. - Организационная уязвимость Уязвимость, появившаяся в связи с отсутствием (или недостатками) организационных мер защиты информации в информационной системе и (или) несоблюдением правил эксплуатации системы защиты информации информационной системы, требований организационно-распорядительных документов по защите информации и (или) несвоевременном выполнении соответствующих действий должностным лицом (работником) или подразделением, ответственными за защиту информации. - Многофакторная уязвимость Уязвимость, появившаяся в результате наличия нескольких недостатков различных типов. - Не задан Поскольку значения поля "Класс уязвимости" могут быть получены только из одного источника (http://www.bdu.fstec.ru/vul), для уязвимостей, полученных из других источников (например, NVD), в автоматическом режиме будет проставляться "Не задан", с последующим изменением экспертами класса уязвимости вручную. | Уязвимость кода |
| Наименование программного обеспечения и его версия | Текстовое поле Представляет собой информацию о наименовании ПО и его версии. | RPC/DCOM Microsoft Windows 4.0/200С/ХР/2003. |
| Служба (порт), которую(ый) используется для функционирования программного обеспечения | Текстовое поле Представляет собой комбинированную информацию о службе (системной или сетевой), о сетевом порте, который используется для функционирования ПО и о наименовании сетевого протокола передачи данных. Номер сетевого порта и наименование сетевого протокола передачи данных отделяют друг от друга знаком "/". | RPC 139/tcp |
| Тип недостатка | Текстовое поле (выбор из закрытого списка) - недостатки, связанные с неправильной настройкой параметров ПО Неправильная настройка параметров ПО заключается в отсутствии необходимого параметра, присвоении параметру неправильных значений, назначении избыточного числа параметров или неопределенных параметров ПО. - недостатки, связанные с неполнотой проверки вводимых (входных) данных Недостаточность проверки вводимых (входных) данных заключается в отсутствии проверки значений, избыточном количестве значений, неопределенности значений, вводимых (входных) данных. - недостатки, связанные с возможностью прослеживания пути доступа к каталогам Прослеживание пути доступа к каталогам заключается в отслеживании пути доступа к каталогу (по адресной строке/составному имени) и получении доступа к предыдущему/корневому месту хранения данных. - недостатки, связанные с возможностью перехода по ссылкам Переход по ссылкам связан с возможностью внедрения нарушителем ссылки на сторонние ресурсы, которые могут содержать вредоносный код. Для файловых систем недостатками являются символьные ссылки и возможности прослеживания по ним нахождения ресурса, доступ к которому ограничен. - недостатки, связанные с возможностью внедрения команд ОС Внедрение команд ОС заключается в возможности выполнения пользователем команд операционной системы (например, просмотре структуры каталогов, копирование, удаление файлов и другие команды). - недостатки, связанные с межсайтовым скриптингом (выполнением сценариев) Межсайтовый скриптинг обычно распространен в веб-приложениях и позволяет внедрять код в веб-страницы, которые могут просматривать нелегитимные пользователи. Примерами такого кода являются скрипты, выполняющиеся на стороне пользователя. - недостатки, связанные с внедрением интерпретируемых операторов языков программирования или разметки Недостатки связаны с внедрением интерпретируемых операторов языков программирования (например, операции выбора, добавления, удаления и другие) или разметки в исходный код веб-приложения. - недостатки, связанные с внедрением произвольного кода Недостатки связаны с внедрением произвольного кода и части кода, которые могут привести к нарушению процесса выполнения операций. - недостатки, связанные с переполнением буфера памяти Переполнение буфера возникает в случае, когда ПО осуществляет запись данных за пределами выделенного в памяти буфера. Переполнение буфера обычно возникает из-за неправильной работы с данными, полученными извне, и памятью, при отсутствии защиты со стороны среды программирования и операционной системы. В результате переполнения буфера могут быть испорчены данные, расположенные следом за буфером или перед ним. Переполнение буфера может вызывать аварийное завершение или зависание ПО. Отдельные виды переполнений буфера (например, переполнение в стековом кадре) позволяет нарушителю выполнить произвольный код от имени ПО и с правами учетной записи, от которой она выполняется. | недостатки, связанные с переполнением буфера памяти. |
| - недостатки, связанные с неконтролируемой форматной строкой Форматная строка в языках C/C++ является специальным аргументом функции с динамически изменяемым числом параметров. Ее значение в момент вызова функции определяет фактическое количество и типы параметров функции. Ошибки форматной строки потенциально позволяют нарушителю динамически изменять путь исполнения программ, в ряде случаев - внедрять произвольный код. - недостатки, связанные с вычислениями К недостаткам, связанным с вычислениями, относятся следующие: - некорректный диапазон, когда ПО использует неверное максимальное или минимальное значение, которое отличается от верного на единицу в большую или меньшую сторону; - ошибка числа со знаком, когда нарушитель может ввести данные, содержащие отрицательное целое число, которые программа преобразует в положительное нецелое число; - ошибка усечения числа, когда часть числа отсекается (например, вследствие явного или неявного преобразования, или иных переходов между типами чисел); - ошибка индикации порядка байтов в числах, когда в ПО смешивается порядок обработки битов (например, обратный и прямой порядок битов), что приводит к неверному числу в содержимом, имеющем критическое значение для безопасности. - недостатки, приводящие к утечке/раскрытию информации ограниченного доступа Утечка информации - преднамеренное или неумышленное разглашение информации ограниченного доступа (например, существует утечки информации при генерировании ПО сообщения об ошибке, которое содержит сведения ограниченного доступа). Недостатки, приводящие к утечке/раскрытию информации ограниченного доступа, могут быть образованы вследствие наличия иных ошибок (например, ошибок, связанных с использованием скриптов). - недостатки, связанные с управлением полномочиями (учетными данными) К недостаткам, связанным с управлением полномочиями (учетными данными) относятся, например, нарушение политики разграничения доступа, отсутствие необходимых ролей пользователей. Ошибки при удалении ненужных учетных данных и другие. - недостатки, связанные с управлением разрешениями, привилегиями и доступом К недостаткам, связанным с управлением разрешениями, привилегиями и доступом, относятся, например, превышение привилегий и полномочий, необоснованному наличию суперпользователей в системе, нарушение политики разграничения доступа и другие. - недостатки, связанные с аутентификацией К недостаткам, связанным с аутентификацией, относятся: возможность обхода аутентификации, ошибки логики процесса аутентификации, отсутствие запрета множественных попыток аутентификации, отсутствие требования аутентификации для выполнения критичных функций. - недостатки, связанные с криптографическими преобразованиями (недостатки шифрования) К недостаткам, связанным с криптографическими преобразованиями относятся ошибки хранения информации в незашифрованном виде, ошибки при управлении ключами, использование несертифицированных средств криптографической защиты информации. - недостатки, связанные с подменой межсайтовых запросов Подмена межсайтового запроса заключается в том, что используемое ПО не осуществляет или не может осуществить проверку корректности формирования запроса. - недостатки, приводящие к "состоянию гонки" "Состояние гонки" - ошибка проектирования многопоточной системы или приложения, при котором функционирование системы или приложения зависит от порядка выполнения части кода. "Состояние гонки" является специфической ошибкой, проявляющейся в случайные моменты времени. | ||
| - недостатки, связанные с управлением ресурсами К недостаткам управления ресурсами относятся: недостаточность мер освобождения выделенных участков памяти после использования, что приводит к сокращению свободных областей памяти, отсутствие очистки ресурса и процессов от сведений ограниченного доступа перед повторным использованием и другие. - иные типы недостатков | ||
| Место возникновения (проявления) уязвимости | Текстовое поле (выбор из закрытого списка) - Общесистемное (общее) программное обеспечение - Прикладное программное обеспечение - Специальное программное обеспечение - Технические средства - Портативные технические средства - Сетевое (коммуникационное, телекоммуникационное) оборудование - Средства защиты информации | Общесистемное (общее) программное обеспечение |
| Наименование операционной системы и ином окружении уязвимого ПО | Текстовое поле Представляет собой информацию об операционной системе и ином окружении уязвимого ПО. | Microsoft Windows 4.0/2000/XP/2003 (*32). |
| Дата выявления уязвимости | Дата Представляет собой информацию о дате выявления уязвимости в формате ДД/ММ/ГГГГ. Дата выявления уязвимости в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных уязвимостей. | 01/01/2016 |
| Автор, опубликовавший информацию о выявленной уязвимости | Текстовое поле Представляет собой информацию об авторе, который обнаружил и опубликовал уязвимость первым. Может быть приведена ссылка на ресурс в сети интернет | |
| Способ (правило) обнаружения уязвимости | Текстовое поле (с возможностью вложения файла) Представляет собой формализованное правило определения уязвимости. Способ (правило) обнаружения уязвимости позволяет при помощи специальной процедуры провести проверку наличия уязвимости. | |
| Критерии опасности уязвимости | Текстовое поле CVSS - общая система оценки уязвимости опубликована на официальном сайте сообщества FIRST по адресу URL: http://www.first.org/cvss | AV.H/AC:UAu:N/C:CJ\:CJA:C |
| Возможные меры по устранению уязвимости | Текстовое поле Предложения и рекомендации по устранению выявленных уязвимостей или исключению возможности использования нарушителем выявленных уязвимостей. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации, использующие данную уязвимость, не являются актуальными. | |
| Прочая информация | Текстовое поле |
5. Сведения, содержащиеся в карточке инцидента кода PUB
(Электронная форма Публикации)
Информация направляется не позднее одного рабочего дня до проведения соответствующего мероприятия.
| N п\п | Содержание | Примечание |
| 1 | Название участника информационного обмена (обязательно) | Указывается полное официальное наименование участника обмена |
| 2 | Контактные данные ответственных лиц участника информационного обмена (обязательно) | Указывается ФИО, должность, номер телефона в формате +7XXX-XXX-XXXX (указать город) и адрес электронной почты |
| 3 | Дата и время планируемых мероприятий (обязательно) | Дата указывается в формате ГГГГММДД. Время указывается в формате ЧЧ:ММ с указанием часового пояса в формате UTC+X (например, для Москвы: UTC + 3) |
| 4 | Место проведения мероприятия (обязательно) | В соответствии с Общероссийским классификатором объектов административно-территориального деления (ОКАТО) указывается первый уровень классификации в формате XX |
| 5 | Дополнительные сведения по мероприятию (обязательно) | Участник может указать любые дополнительные сведения, связанные с мероприятием, которые он сочтет нужным добавить Заполняется в свободной форме |
| 6 | Предпринятые действия по организации мероприятия (обязательно) | Указать, какие меры были предприняты участником для организации мероприятия. Заполняется в свободной форме. Если меры не принимались, указать "не принимались" |
| 7 | Тип планируемого мероприятия (обязательно) | 1) Конференция Код (CNF) 2) Публикация на внешнем ресурсе (в т.ч. печатные издания) Код (PBE) 3) Публикация на собственном ресурсе направляющего информацию (в т.ч. печатные издания) Код (PBI) |
| 8 | Название планируемого мероприятия или ресурса, на котором планируется раскрытие информации (обязательно) | 1) Название Код (TTL) Дополнительно указывается название мероприятия или адрес ресурса в информационно-телекоммуникационной сети Интернет, либо печатного издания, в свободном формате 2) Планируемая дата опубликования (выступления) Указывается в свободной форме |
| 9 | Текст к планируемому мероприятию (обязательно) | Указывается в свободной форме, либо в виде текстового файла в формате .doc |
