PT Application Firewall

Межсетевой экран уровня веб-приложений

T1491: Дефейс

Злоумышленники могут изменить информацию, отображаемую внутри корпоративной сети или за ее пределами, влияя таким образом на целостность исходного контента. Дефейс используется для доставки сообщений, запугивания или заявления (возможно, ложного) о причастности к атаке. Для дефейса злоумышленники могут использовать шокирующие или оскорбительные изображения, причиняющие пользователям дискомфорт или оказывающие на них давление с целью добиться выполнения выдвинутых требований.

Какие продукты Positive Technologies покрывают технику

Как детектировать

PT AF может предотвращать дефейс веб-сайтов, доступных извне корпоративной сети.

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на дефейс внутренних систем организации с целью запугать или ввести в заблуждение пользователей.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте незапланированные изменения в содержании внутренних веб-сайтов.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, которые могут использоваться для дефейса внутренних систем целевой организации с целью запугать или ввести в заблуждение пользователей.

Меры противодействия

IDM1053НазваниеСоздание резервной копии данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые могут использовать злоумышленники для получения доступа и уничтожения резервных копий для предотвращения восстановления.