T1213: Данные из информационных репозиториев
Злоумышленники могут извлекать ценные данные из информационных репозиториев. Информационные репозитории — это инструменты, предназначенные для хранения информации и, как правило, используемые для совместной работы или обмена информацией между пользователями. Репозитории могут содержать различные категории данных, которыми злоумышленники могут воспользоваться для достижения своих целей или получения непосредственного доступа к нужным им данным. Злоумышленники также могут злоупотреблять функциями общего доступа, которые позволяют передавать информацию, в том числе конфиденциальные документы, за пределы организации.
Ниже приведен краткий список категорий данных, которые могут быть доступны в информационных репозиториях и представлять ценность для злоумышленников:
- политики, процедуры и стандарты;
- схемы физических и логических сетей;
- схемы архитектуры систем;
- техническая документация системы;
- учетные данные тестировщиков и разработчиков;
- графики работ и проектов;
- фрагменты исходного кода;
- ссылки на общие сетевые и другие внутренние ресурсы.
В разных репозиториях и средах могут храниться разные типы информации. Среди распространенных информационных репозиториев можно выделить такие веб-платформы, как SharePoint и Confluence, а также специальные сервисы, такие как репозитории кода, базы данных платформ IaaS (infrastructure as a-service), корпоративные базы данных и другие инфраструктуры хранения данных, такие как SQL Server.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
elasticsearch: PT-CR-2731: Elasticsearch_Dump_Indices: Выгрузка содержимого всех индексов из базы данных Elasticsearch mssql_database: PT-CR-410: MSSQL_Dump_Database: Попытка создать резервную копию базы данных на диске
Способы обнаружения
| ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев кода. Отслеживайте доступ к репозиториям кода, особенно таких привилегированных пользователей, как администратор предприятия или домена Active Directory, — эти учетные записи не должны использоваться для доступа к репозиториям кода. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения об этом могут использоваться платформы анализа поведения. |
|---|
| ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте недавние попытки входа в репозитории кода (например, GitHub), которые можно настроить на уведомление о попытках доступа к определенным страницам и документам. |
|---|
Меры противодействия
| ID | M1017 | Название | Обучение пользователей | Описание | Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях SharePoint. |
|---|
| ID | M1018 | Название | Управление учетными записями | Описание | Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию. |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте два или более компонентов для аутентификации в системе, например имя пользователя и пароль совместно с токеном на физическом носителе или из генератора токенов. |
|---|
| ID | M1047 | Название | Аудит | Описание | По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев SharePoint. |
|---|