Техника на mitre.org

T1199: Доверительные отношения

Злоумышленники могут скомпрометировать или каким-либо образом использовать организации, имеющие доступ к целевым системам. При доступе через доверенную третью сторону используется существующий канал связи, который может быть не защищен или подвергаться меньшей проверке, чем при использовании стандартных механизмов доступа к сети.

Организации часто предоставляют расширенный доступ партнерам или сторонним поставщикам для управления внутренними системами и облачными средами организации. В качестве примера можно привести взаимоотношения с подрядчиками ИТ-услуг, поставщиками управляемых систем безопасности, подрядчиками по обслуживанию инфраструктуры (например, систем кондиционирования, лифтов, средств физической охраны). Хотя может предполагаться, что доступ стороннего подрядчика должен быть ограничен обслуживаемой им инфраструктурой, на практике он может подключаться к той же сети, где находится и остальное предприятие. Таким образом, существующие учетные записи, используемые третьей стороной для доступа к внутренним сетевым системам, могут быть скомпрометированы и использованы.

В средах Microsoft 365 организации могут делегировать партнерам или торговым посредникам Microsoft администраторские полномочия. Скомпрометировав учетную запись партнера или торгового посредника, злоумышленник может использовать существующие привилегии уполномоченного администратора или отправлять клиентам новые запросы на делегирование роли уполномоченного администратора, чтобы получить административный контроль над тенантом жертвы.

Какие продукты Positive Technologies покрывают технику

Как обнаружить

PT NAD имеет возможности для гибкой фильтрации трафика, а также правила обнаружения, которые позволяют находить сессии, установленные к узлам защищаемой сети из доверенных сетей других организаций. При помощи уведомлений по фильтрам PT NAD умеет передавать данные о превышении определенного количества таких сессий (или об их появлении) в syslog или генерировать карточки в ленте активностей.

Примеры правил обнаружения PT NAD

ATTACK AD [PTsecurity] Trusted Domains Enumeration via LDAP query (sid 10004118)

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему, с помощью которых злоумышленники могут скомпрометировать или каким-либо образом использовать организации, имеющие доступ к целевым системам.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика от доверенных объектов (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами. Отслеживайте зарегистрированные в журналах нетипичные действия учетных записей делегированных администраторов.

ID	Источник и компонент данных	Описание
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему, с помощью которых злоумышленники могут скомпрометировать или каким-либо образом использовать организации, имеющие доступ к целевым системам.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика от доверенных объектов (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0015	Журналы приложений: Содержимое журналов приложений	Обнаружить посторонние компьютерные системы или сетевые устройства можно, проанализировав базы данных управления конфигурацией (CMDB) или другие системы управления активами. Отслеживайте зарегистрированные в журналах нетипичные действия учетных записей делегированных администраторов.

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Требуйте MFA для всех делегированных учетных записей администраторов.

ID	M1018	Название	Управление учетными записями	Описание	Надлежащим образом управляйте учетными записями и правами, используемыми участниками доверительных отношений, чтобы минимизировать потенциальные злоупотребления самими участниками либо злоумышленниками в случае, если одна из сторон будет скомпрометирована. В среде Office 365 отношения сторон и роли можно просмотреть на странице "Партнерские отношения" ("Partner relationships").

ID	M1030	Название	Сегментация сети	Описание	Сегментация сети может использоваться для изоляции компонентов инфраструктуры, которым не требуется широкий доступ к сети.

ID	Название	Описание
M1032	Многофакторная аутентификация	Требуйте MFA для всех делегированных учетных записей администраторов.
M1018	Управление учетными записями	Надлежащим образом управляйте учетными записями и правами, используемыми участниками доверительных отношений, чтобы минимизировать потенциальные злоупотребления самими участниками либо злоумышленниками в случае, если одна из сторон будет скомпрометирована. В среде Office 365 отношения сторон и роли можно просмотреть на странице "Партнерские отношения" ("Partner relationships").
M1030	Сегментация сети	Сегментация сети может использоваться для изоляции компонентов инфраструктуры, которым не требуется широкий доступ к сети.