T1590.003: Доверенные сети
Злоумышленники могут собирать информацию о доверенных сетях атакуемых инфраструктур, чтобы использовать ее для атак. Информация о доверенных сетях может включать сведения о партнерских или сторонних организациях или доменах (например, поставщиках управляемых услуг и подрядчиках), которым был предоставлен (возможно, привилегированный) доступ к сети.
Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем фишинга с целью сбора сведений. Информация о доверенных сетях жертвы также может быть найдена в интернете или других доступных источниках (например, путем поиска технической информации в общедоступных источниках). Сбор этой информации может открыть дополнительные возможности для разведки (например, активного сканирования или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации доверительных отношений).
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|