MaxPatrol SIEM

Выявляет инциденты ИБ, ведущие к нарушению киберустойчивости компании

T1599: Преодоление границ сети

Злоумышленники могут преодолеть границы сети путем компрометации сетевых устройств на ее периметре или устройств, находящихся внутри сети и отвечающих за ее сегментацию. Взлом этих устройств может позволить атакующим обойти ограничения маршрутизации трафика, использующиеся для отделения доверенных сетей от недоверенных.

Маршрутизаторы и межсетевые экраны позволяют разделять доверенные и недоверенные сети. Для этого вводятся ограничения на разрешенные типы трафика, чтобы обеспечить соблюдение политики организации и снизить риски таких соединений. Ограничение трафика может подразумевать блокировку IP-адресов и портов транспортного уровня, а также глубокую проверку пакетов для идентификации приложений. Для взаимодействия с остальной сетью эти устройства могут быть как напрямую адресуемыми, так и прозрачными, но режим их работы не имеет особого значения в случае компрометации злоумышленником.

Когда злоумышленник захватывает пограничное устройство, он может игнорировать его политику и свободно пропускать запрещенный трафик через границу доверия между двумя отдельными сетями. Получив достаточный уровень привилегий на устройстве, злоумышленник может изменить настройки, чтобы разрешить необходимый ему трафик. Это может позволить, например, организовать связь с командным сервером с помощью цепочки прокси-серверов или эксфильтровать данные путем дублирования трафика. Злоумышленники могут также атаковать внутренние устройства, ответственные за сегментацию сети, и использовать их вместе с внутренним прокси-сервером для достижения тех же целей. Если пограничное устройство разделяет две организации, злоумышленник может использовать его для перемещения в среду новой жертвы.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2095: VK_Cloud_Router_Public_Address_Assign: Маршрутизатору назначен публичный адрес, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1032НазваниеМногофакторная аутентификацияОписание

Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа.

IDM1027НазваниеПарольные политикиОписание

При создании политик паролей руководствуйтесь рекомендациями NIST .

IDM1026НазваниеУправление привилегированными учетными записямиОписание

Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки.

IDM1037НазваниеФильтрация сетевого трафикаОписание

При обнаружении скомпрометированного сетевого устройства, используемого для преодоления границы сети, блокируйте вредоносные пакеты с помощью незатронутого сетевого устройства, например брандмауэра или маршрутизатора, которые не были скомпрометированы. Продолжайте следить за дополнительной активностью и убеждаться в том, что блоки действительно эффективны.

IDM1043НазваниеЗащита от получения учетных данныхОписание

Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли, где это возможно, всегда были зашифрованы в соответствии с рекомендациями производителя.