T1052: Эксфильтрация через альтернативную физическую среду
Злоумышленники могут попытаться извлечь данные из системы, используя физические носители, например внешние жесткие диски. В определенных обстоятельствах, например при компрометации изолированной сети, данные могут быть извлечены из системы на физическом носителе или устройстве, подключенном пользователем. Таким носителем может быть внешний жесткий диск, USB-накопитель, мобильный телефон, MP3-плеер или другое съемное устройство для хранения и обработки данных. Физический носитель или устройство может использоваться в качестве конечной точки эксфильтрации или для распространения на другие отключенные от сети системы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Доступ к файлу | Описание | Отслеживайте попытки доступа к файлам, которые хранятся на съемных носителях и через которые злоумышленники могут попытаться извлечь данные из системы с помощью физических средств, например съемных носителей. |
---|
ID | DS0016 | Источник и компонент данных | Накопитель: Создание накопителя | Описание | Отслеживайте появление новых букв диска или точек подключения устройств хранения данных, которые могут использоваться для извлечения данных из системы с помощью физических средств, например съемных носителей. |
---|
ID | DS0009 | Источник и компонент данных | Процесс: Создание процесса | Описание | Отслеживайте запуск новых процессов при монтировании съемных носителей. |
---|
ID | DS0017 | Источник и компонент данных | Команда: Выполнение команд | Описание | Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы с помощью физических средств, например съемных носителей. |
---|
Меры противодействия
ID | M1034 | Название | Ограничение установки аппаратного обеспечения | Описание | Ограничьте использование USB-устройств и съемных носителей в сети. |
---|
ID | M1042 | Название | Отключение или удаление компонента или программы | Описание | Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте съемные носители на уровне организационной политики, если они не требуются для выполнения бизнес-операций. . |
---|
ID | M1057 | Название | Предотвращение потери данных | Описание | Предотвращение потери данных позволяет обнаруживать и блокировать копирование конфиденциальных данных на физические носители. |
---|