T1556.004: Аутентификация на сетевых устройствах
Злоумышленники могут воспользоваться техникой Внесение исправлений в образ системы, чтобы внедрить в операционную систему жестко заданный пароль и обойти встроенные механизмы аутентификации локальных учетных записей на сетевых устройствах.
Изменение образа системы может предусматривать внедрение в операционную систему кода, который позволит злоумышленникам получить доступ к сетевым устройствам, используя заранее заданный пароль. При попытке аутентификации внедренный код сначала проверяет, совпадает ли введенный пользователем пароль с этим паролем. При совпадении пользователю предоставляется доступ. В противном случае внедренный код передает учетные данные для проверки их подлинности.
Способы обнаружения
| ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменения в контрольных суммах файлов операционной системы и проверяйте целостность образа операционной системы в памяти. Обнаружить подобную деятельность может быть непросто — рекомендуется отслеживать связанные с этим техники злоумышленников, такие как "Изменение образа системы". |
|---|
Меры противодействия
| ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки. |
|---|
| ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для обычных и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа . |
|---|