T1590.004: Топология сети

Злоумышленники могут собирать информацию о топологии атакуемой сети, чтобы использовать ее для атак. Это могут быть сведения о физической и (или) логической организации сетевых сред, как имеющих, так и не имеющих выход вовне, а также о сетевых устройствах (таких как шлюзы и маршрутизаторы) и другой инфраструктуре.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация о топологии сети жертвы также может быть найдена в интернете или других доступных источниках (например, путем поиска на сайтах атакуемой организации). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска технической информации в общедоступных источниках или поиска на общедоступных сайтах) и способствовать получению оперативных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. Efforts should focus on minimizing the amount and sensitivity of data available to external parties.