T1565: Манипуляции с данными
Злоумышленники могут внедрять, удалять или изменять данные, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Тип модификации и ее влияние зависят от целевого приложения и процесса, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0009 | Источник и компонент данных | Процесс: Вызовы API ОС | Описание | Отслеживайте вызовы API, которые могут использоваться для модификации данных. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичное удаление файлов с целью воздействия на внешние компоненты или скрытия активности. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте сети, которые запрашивают и получают информацию о конфигурации опрашиваемого устройства. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте файлы, созданные недавно с целью воздействия на внешние компоненты или скрытия активности. |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте сетевой трафик, исходящий от неизвестных или непредвиденных аппаратных устройств. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте изменение данных в нетипичных файлах с целью воздействия на внешние компоненты или скрытия активности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Метаданные файла | Описание | Отслеживайте контекстные данные файла, включая имя, содержание (например, подпись, заголовки, данные или встроенные объекты), пользователя/владельца и разрешения, с помощью которых злоумышленники могут манипулировать данными, чтобы скрыть свою деятельность |
---|
Меры противодействия
ID | M1041 | Название | Шифрование важной информации | Описание | По возможности шифруйте важную информацию, чтобы уменьшить возможности злоумышленника по модификации данных. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые могут использовать злоумышленники для получения доступа и манипулирования резервными копиями. |
---|
ID | M1030 | Название | Сегментация сети | Описание | Выявляйте критически важные бизнес-процессы и системы, которые могут стать мишенью для злоумышленников. Изолируйте и защищайте эти системы от несанкционированного доступа и несанкционированного вмешательства. |
---|
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы к важным информационным ресурсам применялся принцип минимальных привилегий для снижения риска манипуляций с данными. |
---|