|
Название поля
|
Описание поля (должно быть представлено в качестве подсказки при заполнении)
|
Пример
|
|
Наименование угрозы
|
Текстовое поле
Информация об угрозе, на основе которой возможно установить причину и (или) последствия угрозы. Наименование уязвимости должно быть представлено на русском языке (в скобках на английском языке - при необходимости)
|
Вредоносный код JS.Downloader
|
|
Идентификатор угрозы
|
Текстовое поле (присваивается автоматически разрабатываемой системой)
Представляет собой алфавитно-цифровой код, включающий код базы данных угроз (ФинЦЕРТ), код угрозы, год, месяц и дату выявления угрозы, и порядковый номер угрозы, выявленной за текущий день. При определении идентификатора угрозы код базы данных уязвимостей, код угрозы, дату выявления угрозы и ее порядковый номер должны быть отделены друг от друга знаком "-", при этом знак пробела не ставится.
|
FinCERT-BK-2016-1234
|
|
|
Наименование угрозы
|
Код угрозы
|
|
|
|
Вредоносное программное обеспечение
|
ВК
|
|
|
|
Эксплуатация уязвимости
|
ЭУ
|
|
|
|
DDoS
|
ОО
|
|
|
|
ЦУ бот-сети
|
ЦУ
|
|
|
|
Фишинг
|
ФШ
|
|
|
|
Вредоносный ресурс
|
ВР
|
|
|
|
другое
|
ДР
|
|
|
Краткое описание угрозы
|
Текстовое поле
Представляет собой текстовую информацию об угрозе и возможностях ее использования
|
Вредоносный код представляет собой загрузчик шифровальщика
|
|
Класс угрозы
|
Текстовое поле (выбор из закрытого списка)
- Вредоносное программное обеспечение
|
|
|
|
Индикаторы компрометации
|
Текстовые поля
|
|
|
|
|
В формате Yara (если есть)
|
|
|
|
|
В формате Open IOC (если есть)
|
|
|
|
|
В формате XML (если есть)
|
|
|
|
|
Иные форматы
|
|
|
|
|
Антивирусные решения, детектирующие ВПО
|
Текстовое поле
|
|
|
|
|
- Эксплуатация уязвимости
|
|
|
|
Идентификатор уязвимости
|
Текстовое поле с возможностью перехода на карточку уязвимости (Стандартизированный (CVE, ФСТЭК))
|
|
|
|
|
Описание методики эксплуатации
|
Текстовое поле с возможностью вставки изображений (Допускается ссылка на POC (proof of concept) уязвимости)
|
|
|
|
|
- DDoS
|
|
|
|
Атакующие IP адреса
|
Текстовое поле
|
|
|
|
|
Тип атаки
|
Текстовое поле
|
|
|
|
|
Прогнозируемое усиление (если есть)
|
Текстовое поле
|
|
|
|
|
Прогнозируемая мощность (если есть)
|
Текстовое поле
|
|
|
|
|
- ЦУ бот-сети
|
|
|
|
IP-адрес или доменное имя
|
Текстовое поле
|
|
|
|
|
Тип и общие сведения о бот-сети
|
Текстовое поле
|
|
|
|
|
Каким образом выявлен
|
Текстовое поле
|
|
|
|
|
- Фишинг
|
|
|
|
IP-адрес или доменное имя ресурса
|
Текстовое поле
|
|
|
|
|
Дата обнаружения ресурса
|
Дата
|
|
|
|
|
Технические заголовки письма (при наличии)
|
Текстовое поле
|
|
|
|
|
Текст письма (при наличии)
|
Текстовое поле
|
|
|
|
|
- Вредоносный ресурс
|
|
|
|
IP-адрес или доменное имя ресурса
|
Текстовое поле
|
|
|
|
|
Дата обнаружения ресурса
|
Дата
|
|
|
|
|
Причины, почему ресурс подозревается вредоносным
|
Текстовое поле
|
|
|
|
|
- Мошеннический телефонный номер
|
|
|
|
Дата и время звонка (смс)
|
Дата
|
|
|
|
|
Текст смс
|
Текстовое поле
|
|
|
|
|
Номер (сотовый, 8-800 и др.)
|
Текстовое поле (с ограничением на ввод только цифр)
|
|
|
|
|
- другое
|
|
|
Дата выявления угрозы
|
Дата
Представляет собой информацию о дате выявления угрозы в формате ДД/ММ/ГГГГ. Дата выявления угрозы в случае фактической невозможности ее установления считается совпадающей с датой регистрации сообщения об уязвимости в базе данных угроз.
|
01/01/2016
|
|
Автор, опубликовавший информацию о выявленной уязвимости
|
Текстовое поле
Представляет собой информацию об авторе (участник информационного обмена/FinCERT/другое), который обнаружил и опубликовал угрозу первым. Может быть приведена ссылка на ресурс в сети интернет
|
|
|
Способ (правило) обнаружения уязвимости
|
Текстовое поле (с возможностью вложения файла)
Представляет собой формализованное правило определения реализации угрозы.
Поле должно включать в себя имя автора правила - участника информационного обмена
|
|
|
Возможные меры по устранению уязвимости
|
Текстовое поле
Предложения и рекомендации по устранению выявленных угроз или исключению возможности использования нарушителем выявленных угроз. Предложения и рекомендации должны содержать ссылки на необходимое ПО и (или) описание конфигураций ПО, для которых угрозы безопасности информации не являются актуальными.
|
|
|
Прочая информация
|
Текстовое поле
|
|