T1052: Эксфильтрация через альтернативную физическую среду

Злоумышленники могут попытаться извлечь данные из системы, используя физические носители, например внешние жесткие диски. В определенных обстоятельствах, например при компрометации изолированной сети, данные могут быть извлечены из системы на физическом носителе или устройстве, подключенном пользователем. Таким носителем может быть внешний жесткий диск, USB-накопитель, мобильный телефон, MP3-плеер или другое съемное устройство для хранения и обработки данных. Физический носитель или устройство может использоваться в качестве конечной точки эксфильтрации или для распространения на другие отключенные от сети системы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Доступ к файлуОписание

Отслеживайте попытки доступа к файлам, которые хранятся на съемных носителях и через которые злоумышленники могут попытаться извлечь данные из системы с помощью физических средств, например съемных носителей.

IDDS0016Источник и компонент данныхНакопитель: Создание накопителяОписание

Отслеживайте появление новых букв диска или точек подключения устройств хранения данных, которые могут использоваться для извлечения данных из системы с помощью физических средств, например съемных носителей.

IDDS0009Источник и компонент данныхПроцесс: Создание процессаОписание

Отслеживайте запуск новых процессов при монтировании съемных носителей.

IDDS0017Источник и компонент данныхКоманда: Выполнение командОписание

Отслеживайте выполнение команд с аргументами, которые могут использоваться для извлечения данных из системы с помощью физических средств, например съемных носителей.

Меры противодействия

IDM1034НазваниеОграничение установки аппаратного обеспеченияОписание

Ограничьте использование USB-устройств и съемных носителей в сети.

IDM1042НазваниеОтключение или удаление компонента или программыОписание

Отключите автозапуск, если в нем нет необходимости . Запретите или ограничьте съемные носители на уровне организационной политики, если они не требуются для выполнения бизнес-операций. .

IDM1057НазваниеПредотвращение потери данныхОписание

Предотвращение потери данных позволяет обнаруживать и блокировать копирование конфиденциальных данных на физические носители.