T1565.001: Манипуляции с хранимыми данными
Злоумышленники могут внедрять, удалять или изменять хранимые данные, чтобы нарушить их целостность, повлиять на связанные с ними результаты или скрыть определенную активность. Злоумышленники могут манипулировать хранимыми данными с целью повлиять на бизнес-процессы и затруднить понимание состояния организации и принятие решений.
Сохраненные данные могут включать файлы различных форматов, такие как документы Office, базы данных, электронные письма и другие типы файлов. Тип воздействия и его влияние зависят от формата данных и целей злоумышленника. Чтобы оказать желаемое воздействие на сложные системы, злоумышленнику обычно требуются специальные знания и, возможно, доступ к специализированному программному обеспечению, которые он, как правило, получает в результате длительного сбора информации.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
supply_chain: PT-CR-1777: SupplyChain_File_Upload_To_Important_Repository: Пользователь загрузил файл в репозиторий, использовав нестандартную учетную запись или новый адрес supply_chain: PT-CR-1934: SupplyChain_TeamCity_Plugin_Modify: Использован плагин. Злоумышленники могут управлять плагинами TeamCity для загрузки вредоносного кода supply_chain: PT-CR-1963: SupplyChain_TeamCity_Execution_Via_Request: Включена возможность удаленного выполнения команд, и выполнен код. Злоумышленники, получив токен доступа к API TeamCity, могут включить опцию rest.debug.processes.enable, позволяющую выполнять команды на сервере с помощью POST-запросов supply_chain: PT-CR-1762: SupplyChain_Push_Without_Merge_Request: Пользователь отправил изменения в ветку без запроса на слияние supply_chain: PT-CR-1761: SupplyChain_Merge_Request_Apply_Without_Approvers: Слияние в ветку без утверждающих supply_chain: PT-CR-1760: SupplyChain_Sensitive_File_Access: Пользователь осуществил доступ к системному файлу Jfrog Artifactory, содержащему чувствительную информацию, или изменил конфигурацию сборки TeamCity enterprise_1c_and_bitrix: PT-CR-676: Enterprise_1C_Manipulate_Critical_Data: Изменен критически важный документ vsphere_suspicious_user_activity: PT-CR-520: Reconfiguring_Protective_VM: Изменены параметры виртуальной машины с установленным защитным ПО vsphere_suspicious_user_activity: PT-CR-519: Mass_Reconfiguring_Protective_VM: Изменены параметры нескольких виртуальных машин с установленным защитным ПО vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора it_bastion: PT-CR-2178: SKDPUNT_Sftp_Access_Failure: СКДПУ НТ регистрирует ошибки доступа на чтение или запись файлов по протоколу SFTP hashicorp: PT-CR-2140: Hashicorp_Vault_Important_Secrets_Rewrite: Злоумышленники могут перезаписывать важные секреты, чтобы нарушить доступность или работоспособность отдельных систем или получить к ним доступ hashicorp: PT-CR-2139: Hashicorp_Vault_Important_Engines_Manipulation: Злоумышленники могут удалять или изменять параметры важных хранилищ (engines) для получения доступа к ним mitre_attck_impact: PT-CR-1840: Hosts_File_Modify: Попытка изменить целостность файла hosts на узлах Windows и Unix mysql_database: PT-CR-2302: MySQL_Update_Configuration: Обновление конфигурации базы данных MySQL может затронуть параметры безопасности хранимых данных mysql_database: PT-CR-623: MySQL_Host_Cache_Table_Truncate: Попытка очистить таблицу кэша адресов unix_mitre_attck_persistence: PT-CR-1662: Unix_Suspicious_Home_Modify: Изменение файлов в домашнем каталоге одного из пользователей microsoft_sharepoint: PT-CR-2111: Sharepoint_Critical_Data_Manipulation: Выполнено действие с критически важным файлом network_devices_compromise: PT-CR-577: Cisco_ASA_Disable_Username_Hiding: На устройстве Cisco ASA включено сохранение имен пользователей в журнале в открытом виде clickhouse: PT-CR-1563: ClickHouse_Backup: Обнаружена попытка создания резервной копии объекта СУБД clickhouse: PT-CR-1571: ClickHouse_Data_Manipulation: Обнаружена попытка внесения изменений в критически важную для СУБД таблицу clickhouse: PT-CR-1576: ClickHouse_Audit_Table_Modified: Обнаружена попытка изменения системных таблиц system.session_log и system.query_log microsoft_exchange: PT-CR-2357: Exchange_Remove_Dismount_Mailbox_Database: Удаление или размонтирование базы данных Exchange. Это может быть действием злоумышленника с целью нарушить доступность системных и сетевых ресурсов profiling: PT-CR-1033: App_1C_Enterprise_Object_Modify: Пользователь создал или изменил справочник в системе "1С:ERP" security_code_secret_net_lsp: PT-CR-1891: SecretNet_LSP_Export_Backup: Экспорт конфигурации Secret Net LSP security_code_secret_net_lsp: PT-CR-1905: SecretNet_LSP_Manipulate_Critical_Data: Изменение объекта, для которого осуществляется контроль целостности Secret Net LSP security_code_secret_net_lsp: PT-CR-1892: SecretNet_LSP_Apply_Backup: Замена конфигурации Secret Net LSP postgresql_database: PT-CR-1901: PostgreSQL_Update_Configuration: Обновление конфигурации базы данных PostgreSQL может затронуть параметры безопасности хранимых данных
Способы обнаружения
ID | DS0022 | Источник и компонент данных | Файл: Изменение файла | Описание | Отслеживайте нетипичные манипуляции над данными в файлах, целью которых могут являться изменение связанных с данными результатов или скрытие определенной активности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Создание файла | Описание | Отслеживайте создание файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности. |
---|
ID | DS0022 | Источник и компонент данных | Файл: Удаление файла | Описание | Отслеживайте нетипичное удаление файлов, целью которого могут являться изменение связанных с данными результатов или скрытие определенной активности. |
---|
Меры противодействия
ID | M1022 | Название | Ограничение разрешений для файлов и каталогов | Описание | Проследите, чтобы к важным информационным ресурсам применялся принцип минимальных привилегий для снижения риска манипуляций с данными. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | По возможности шифруйте важную информацию, чтобы уменьшить возможности злоумышленника по модификации данных. |
---|
ID | M1029 | Название | Удаленное хранение данных | Описание | По возможности внедрите планы аварийного восстановления ИТ, содержащие процедуры регулярного создания резервных копий данных, которые могут быть использованы для восстановления данных организации. Проследите, чтобы резервные копии хранились вне системы и были защищены от распространенных методов, которые злоумышленники могут использовать для получения доступа и манипулирования резервными копиями. |
---|