T1565: Манипуляции с данными

Злоумышленники могут внедрять, удалять или изменять данные, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.

Тип модификации и ее влияние зависят от целевого приложения и процесса, а также целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.

Какие продукты Positive Technologies покрывают технику

Способы обнаружения

IDDS0009Источник и компонент данныхПроцесс: Вызовы API ОСОписание

Отслеживайте вызовы API, которые могут использоваться для модификации данных. Средства удаленного доступа со встроенными функциями могут напрямую взаимодействовать с API Windows для сбора информации.

IDDS0022Источник и компонент данныхФайл: Удаление файлаОписание

Отслеживайте нетипичное удаление файлов с целью воздействия на внешние компоненты или скрытия активности.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте сети, которые запрашивают и получают информацию о конфигурации опрашиваемого устройства.

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте файлы, созданные недавно с целью воздействия на внешние компоненты или скрытия активности.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте сетевой трафик, исходящий от неизвестных или непредвиденных аппаратных устройств.

IDDS0022Источник и компонент данныхФайл: Изменение файлаОписание

Отслеживайте изменение данных в нетипичных файлах с целью воздействия на внешние компоненты или скрытия активности.

IDDS0022Источник и компонент данныхФайл: Метаданные файлаОписание

Отслеживайте контекстные данные файла, включая имя, содержание (например, подпись, заголовки, данные или встроенные объекты), пользователя/владельца и разрешения, с помощью которых злоумышленники могут манипулировать данными, чтобы скрыть свою деятельность

Меры противодействия

IDM1041НазваниеШифрование важной информацииОписание

По возможности шифруйте важную информацию, чтобы уменьшить возможности злоумышленника по модификации данных.

IDM1029НазваниеУдаленное хранение данныхОписание

По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые могут использовать злоумышленники для получения доступа и манипулирования резервными копиями.

IDM1030НазваниеСегментация сетиОписание

Выявляйте критически важные бизнес-процессы и системы, которые могут стать мишенью для злоумышленников. Изолируйте и защищайте эти системы от несанкционированного доступа и несанкционированного вмешательства.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Проследите, чтобы к важным информационным ресурсам применялся принцип минимальных привилегий для снижения риска манипуляций с данными.