T1491: Дефейс
Злоумышленники могут изменить информацию, отображаемую внутри корпоративной сети или за ее пределами, влияя таким образом на целостность исходного контента. Дефейс используется для доставки сообщений, запугивания или заявления (возможно, ложного) о причастности к атаке. Для дефейса злоумышленники могут использовать шокирующие или оскорбительные изображения, причиняющие пользователям дискомфорт или оказывающие на них давление с целью добиться выполнения выдвинутых требований.
Какие продукты Positive Technologies покрывают технику
Как детектировать
PT AF может предотвращать дефейс веб-сайтов, доступных извне корпоративной сети.
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью запугать или ввести в заблуждение пользователей. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте незапланированные изменения в содержании внутренних веб-сайтов. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте недавно созданные файлы, которые могут использоваться для дефейса внутренних систем целевой организации с целью запугать или ввести в заблуждение пользователей. |
---|
Меры противодействия
ID | M1053 | Название | Создание резервной копии данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые могут использовать злоумышленники для получения доступа и уничтожения резервных копий для предотвращения восстановления. |
---|