Матрица MITRE ATT&CK

Техника на mitre.org

T1213.003: Репозитории кода

Злоумышленники могут собирать ценную информацию из репозиториев кода. Репозитории кода — это инструменты или службы, предназначенные для хранения исходного кода и автоматизации сборки ПО. Они могут размещаться как в корпоративной инфраструктуре, так и на сторонних платформах, таких как GitHub, GitLab, SourceForge и Bitbucket. Пользователи, как правило, работают с репозиториями кода через веб-приложения или утилиты командной строки, такие как git.

Получив доступ к сети жертвы или частному репозиторию кода, злоумышленники могут собрать конфиденциальную информацию, такую как закрытый исходный код или учетные данные, содержащиеся в исходном коде программного обеспечения. Имея доступ к исходному коду ПО, злоумышленники могут создавать эксплойты, а учетные данные существующих учетных записей открывают доступ к дополнительным ресурсам.

Примечание. Эта техника отличается от техники Репозитории кода, которая заключается в проведении разведки через публичные репозитории кода.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в репозитории кода (например, GitHub), в которых можно настроить уведомления о попытках доступа к определенным страницам и документам.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев кода. Отслеживайте доступ к репозиториям кода, особенно таких привилегированных пользователей, как администратор предприятия или домена Active Directory, — эти учетные записи не должны использоваться для доступа к репозиториям кода. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

ID	Источник и компонент данных	Описание
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в репозитории кода (например, GitHub), в которых можно настроить уведомления о попытках доступа к определенным страницам и документам.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев кода. Отслеживайте доступ к репозиториям кода, особенно таких привилегированных пользователей, как администратор предприятия или домена Active Directory, — эти учетные записи не должны использоваться для доступа к репозиториям кода. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях кода.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для входа в репозитории кода.

ID	M1047	Название	Аудит	Описание	Проводите периодические проверки учетных записей и привилегий для критически важных и конфиденциальных репозиториев кода. Проверяйте репозитории кода на наличие открытых учетных данных или другой конфиденциальной информации.

ID	M1018	Название	Управление учетными записями	Описание	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите для репозиториев кода механизмы контроля доступа, включающие и аутентификацию, и авторизацию.

ID	Название	Описание
M1017	Обучение пользователей	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях кода.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для входа в репозитории кода.
M1047	Аудит	Проводите периодические проверки учетных записей и привилегий для критически важных и конфиденциальных репозиториев кода. Проверяйте репозитории кода на наличие открытых учетных данных или другой конфиденциальной информации.
M1018	Управление учетными записями	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите для репозиториев кода механизмы контроля доступа, включающие и аутентификацию, и авторизацию.