T1591: Сбор бизнес-информации об атакуемой организации

Злоумышленники могут собирать информацию об атакуемых организациях, чтобы использовать ее для атак. Бизнес-информация об атакуемой организации может включать названия отделов и других подразделений, особенности бизнес-операций, а также роли и обязанности ключевых сотрудников.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем фишинга с целью сбора сведений. Бизнес-информация также может быть найдена в интернете или других открытых источниках, например в социальных сетях или путем поиска на сайтах атакуемой организации. Сбор этой информации может открыть дополнительные возможности для разведки (например, фишинга с целью сбора сведений или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, созданию учетных записей или компрометации учетных записей) и (или) обеспечению первоначального доступа (например, путем фишинга или эксплуатации доверительных отношений).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.