T1597.001: Поставщики информации об угрозах
Злоумышленники могут искать в частных базах данных поставщиков информации об угрозах сведения, которые можно использовать для атак. Поставщики информации об угрозах могут предлагать платные каналы или порталы с более детальными данными, чем те, что доступны публично. Хотя конфиденциальные данные, такие как имена клиентов и другие идентификаторы, могут быть скрыты, эта информация все равно может раскрывать общие характеристики атак, например целевые отрасли, потенциальную атрибуцию и успешные TTP (тактики, техники, процедуры) или контрмеры.
Злоумышленники могут искать в закрытых отчетах поставщиков аналитических данных об угрозах информацию, полезную для организации атак. Они могут искать информацию или индикаторы, связанные с их собственными кампаниями, а также с кампаниями других группировок, соответствующими их целям и (или) возможностям, целевым отраслям или оперативным задачам. Информация, полученная от поставщиков аналитических данных об угрозах, может открыть дополнительные возможности для разведки (например, поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, разработке собственных средств или подготовке необходимых средств) и (или) обеспечению первоначального доступа (например, путем эксплуатации недостатков в общедоступных приложениях и внешних служб удаленного доступа).
Меры противодействия
ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. Усилия должны быть направлены на минимизацию объема и конфиденциальности данных, доступных внешним сторонам. |
---|