T1591.002: Контрагенты

Злоумышленники могут собирать информацию о контрагентах атакуемых организаций, чтобы использовать ее для атак. Информация о контрагентах организации может включать сведения о партнерских или сторонних организациях или доменах (например, поставщиках управляемых услуг и подрядчиках), которым был предоставлен (возможно, привилегированный) доступ к сети. Эти сведения также могут помочь вычислить цепочки поставок и пути доставки программных и аппаратных ресурсов жертвы.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем фишинга с целью сбора сведений. Информация о контрагентах также может быть найдена в интернете или других открытых источниках, например в социальных сетях или путем поиска на сайтах атакуемой организации. Сбор этой информации может открыть дополнительные возможности для разведки (например, фишинга с целью сбора сведений или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, созданию учетных записей или компрометации учетных записей) и (или) обеспечению первоначального доступа (например, путем компрометации цепочки поставок, теневой (drive-by) компрометации или эксплуатации доверительных отношений).

Меры противодействия

IDM1056НазваниеПредкомпрометацияОписание

От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам.