T1213.003: Репозитории кода

Злоумышленники могут собирать ценную информацию из репозиториев кода. Репозитории кода — это инструменты или службы, предназначенные для хранения исходного кода и автоматизации сборки ПО. Они могут размещаться как в корпоративной инфраструктуре, так и на сторонних платформах, таких как GitHub, GitLab, SourceForge и Bitbucket. Пользователи, как правило, работают с репозиториями кода через веб-приложения или утилиты командной строки, такие как git.

Получив доступ к сети жертвы или частному репозиторию кода, злоумышленники могут собрать конфиденциальную информацию, такую как закрытый исходный код или учетные данные, содержащиеся в исходном коде программного обеспечения. Имея доступ к исходному коду ПО, злоумышленники могут создавать эксплойты, а учетные данные существующих учетных записей открывают доступ к дополнительным ресурсам.

Примечание. Эта техника отличается от техники Репозитории кода, которая заключается в проведении разведки через публичные репозитории кода.

Способы обнаружения

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Monitor for third-party application logging, messaging, and/or other artifacts that may leverage code repositories to collect valuable information. Monitor access to code repositories, especially performed by privileged users such as Active Directory Domain or Enterprise Administrators as these types of accounts should generally not be used to access code repositories. In environments with high-maturity, it may be possible to leverage User-Behavioral Analytics (UBA) platforms to detect and alert on user-based anomalies.

IDDS0028Источник и компонент данныхСеанс входа в систему: Создание сеанса входа в системуОписание

Monitor for newly constructed logon behavior across code repositories (e.g. Github) which can be configured to report access to certain pages and documents.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Develop and publish policies that define acceptable information to be stored in code repositories.

IDM1047НазваниеАудитОписание

Consider periodic reviews of accounts and privileges for critical and sensitive code repositories. Scan code repositories for exposed credentials or other sensitive information.

IDM1018НазваниеУправление учетными записямиОписание

Enforce the principle of least-privilege. Consider implementing access control mechanisms that include both authentication and authorization for code repositories.

IDM1032НазваниеМногофакторная аутентификацияОписание

Use multi-factor authentication for logons to code repositories.