T1213.003: Репозитории кода
Злоумышленники могут собирать ценную информацию из репозиториев кода. Репозитории кода — это инструменты или службы, предназначенные для хранения исходного кода и автоматизации сборки ПО. Они могут размещаться как в корпоративной инфраструктуре, так и на сторонних платформах, таких как GitHub, GitLab, SourceForge и Bitbucket. Пользователи, как правило, работают с репозиториями кода через веб-приложения или утилиты командной строки, такие как git.
Получив доступ к сети жертвы или частному репозиторию кода, злоумышленники могут собрать конфиденциальную информацию, такую как закрытый исходный код или учетные данные, содержащиеся в исходном коде программного обеспечения. Имея доступ к исходному коду ПО, злоумышленники могут создавать эксплойты, а учетные данные существующих учетных записей открывают доступ к дополнительным ресурсам.
Примечание. Эта техника отличается от техники Репозитории кода, которая заключается в проведении разведки через публичные репозитории кода.
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Monitor for third-party application logging, messaging, and/or other artifacts that may leverage code repositories to collect valuable information. Monitor access to code repositories, especially performed by privileged users such as Active Directory Domain or Enterprise Administrators as these types of accounts should generally not be used to access code repositories. In environments with high-maturity, it may be possible to leverage User-Behavioral Analytics (UBA) platforms to detect and alert on user-based anomalies. |
---|
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Monitor for newly constructed logon behavior across code repositories (e.g. Github) which can be configured to report access to certain pages and documents. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Develop and publish policies that define acceptable information to be stored in code repositories. |
---|
ID | M1047 | Название | Аудит | Описание | Consider periodic reviews of accounts and privileges for critical and sensitive code repositories. Scan code repositories for exposed credentials or other sensitive information. |
---|
ID | M1018 | Название | Управление учетными записями | Описание | Enforce the principle of least-privilege. Consider implementing access control mechanisms that include both authentication and authorization for code repositories. |
---|
ID | M1032 | Название | Многофакторная аутентификация | Описание | Use multi-factor authentication for logons to code repositories. |
---|