Матрица MITRE ATT&CK

Техника на mitre.org

T1213.003: Репозитории кода

Злоумышленники могут собирать ценную информацию из репозиториев кода. Репозитории кода — это инструменты или службы, предназначенные для хранения исходного кода и автоматизации сборки ПО. Они могут размещаться как в корпоративной инфраструктуре, так и на сторонних платформах, таких как GitHub, GitLab, SourceForge и Bitbucket. Пользователи, как правило, работают с репозиториями кода через веб-приложения или утилиты командной строки, такие как git.

Получив доступ к сети жертвы или частному репозиторию кода, злоумышленники могут собрать конфиденциальную информацию, такую как закрытый исходный код или учетные данные, содержащиеся в исходном коде программного обеспечения. Имея доступ к исходному коду ПО, злоумышленники могут создавать эксплойты, а учетные данные существующих учетных записей открывают доступ к дополнительным ресурсам.

Примечание. Эта техника отличается от техники Репозитории кода, которая заключается в проведении разведки через публичные репозитории кода.

Какие продукты Positive Technologies покрывают технику

Описание методов обнаружения техники пока недоступно

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев кода. Отслеживайте доступ к репозиториям кода, особенно таких привилегированных пользователей, как администратор предприятия или домена Active Directory, — эти учетные записи не должны использоваться для доступа к репозиториям кода. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в репозитории кода (например, GitHub), в которых можно настроить уведомления о попытках доступа к определенным страницам и документам.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на извлечение данных из репозиториев кода. Отслеживайте доступ к репозиториям кода, особенно таких привилегированных пользователей, как администратор предприятия или домена Active Directory, — эти учетные записи не должны использоваться для доступа к репозиториям кода. В зрелых системах безопасности для выявления аномального поведения пользователей и оповещения о нем могут использоваться платформы анализа поведения (UBA).
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в репозитории кода (например, GitHub), в которых можно настроить уведомления о попытках доступа к определенным страницам и документам.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях кода.

ID	M1018	Название	Управление учетными записями	Описание	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите для репозиториев кода механизмы контроля доступа, включающие и аутентификацию, и авторизацию.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для входа в репозитории кода.

ID	M1047	Название	Аудит	Описание	Проводите периодические проверки учетных записей и привилегий для критически важных и конфиденциальных репозиториев кода. Проверяйте репозитории кода на наличие открытых учетных данных или другой конфиденциальной информации.

ID	Название	Описание
M1017	Обучение пользователей	Разработайте и опубликуйте правила, в которых будет описано, какая информация может храниться в репозиториях кода.
M1018	Управление учетными записями	Обеспечьте использование принципа минимальных привилегий. По возможности внедрите для репозиториев кода механизмы контроля доступа, включающие и аутентификацию, и авторизацию.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для входа в репозитории кода.
M1047	Аудит	Проводите периодические проверки учетных записей и привилегий для критически важных и конфиденциальных репозиториев кода. Проверяйте репозитории кода на наличие открытых учетных данных или другой конфиденциальной информации.