T1213.001: Confluence

Злоумышленники могут извлекать ценные данные из репозиториев Confluence. Системы Confluence, как и Atlassian JIRA, часто используются в средах разработки. Обычно в них хранится связанная с разработкой документация, но они могут содержать и другую полезную информацию, такую как:

  • политики, процедуры и стандарты;
  • схемы физических и логических сетей;
  • схемы архитектуры систем;
  • техническая документация системы;
  • учетные данные тестировщиков и разработчиков;
  • графики работ и проектов;
  • фрагменты исходного кода;
  • ссылки на общие сетевые и другие внутренние ресурсы.

Способы обнаружения

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Отслеживайте попытки входа в систему Confluence Atlassian — в ней можно настроить уведомления о попытках получения доступа к определенным страницам и документам через AccessLogFilter . Для развития возможностей обнаружения, вероятно, потребуется увеличить хранилище журналов и расширить аналитическую инфраструктуру.

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев Confluence. Отслеживайте доступ привилегированных пользователей (к примеру, администраторов домена Active Directory, предприятия или схемы) к репозиториям Confluence — эти учетные записи не должны использоваться для доступа к информационным репозиториям. По возможности отслеживайте пользователей, которые извлекают и просматривают большое количество документов и страниц, а также включите уведомления об этих событиях. Такое поведение может указывать на попытки извлечения всех данных из репозитория с помощью программных средств. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях Confluence.

IDM1047НазваниеАудитОписание

По возможности периодически пересматривайте учетные записи и привилегии для критически важных и конфиденциальных репозиториев Confluence.

IDM1018НазваниеУправление учетными записямиОписание

Обеспечьте использование принципа минимальных привилегий. По возможности внедрите механизмы контроля доступа, включающие и аутентификацию, и авторизацию.