T1599: Преодоление границ сети
Злоумышленники могут преодолеть границы сети путем компрометации сетевых устройств на ее периметре или устройств, находящихся внутри сети и отвечающих за ее сегментацию. Взлом этих устройств может позволить атакующим обойти ограничения маршрутизации трафика, использующиеся для отделения доверенных сетей от недоверенных.
Маршрутизаторы и межсетевые экраны позволяют разделять доверенные и недоверенные сети. Для этого вводятся ограничения на разрешенные типы трафика, чтобы обеспечить соблюдение политики организации и снизить риски таких соединений. Ограничение трафика может подразумевать блокировку IP-адресов и портов транспортного уровня, а также глубокую проверку пакетов для идентификации приложений. Для взаимодействия с остальной сетью эти устройства могут быть как напрямую адресуемыми, так и прозрачными, но режим их работы не имеет особого значения в случае компрометации злоумышленником.
Когда злоумышленник захватывает пограничное устройство, он может игнорировать его политику и свободно пропускать запрещенный трафик через границу доверия между двумя отдельными сетями. Получив достаточный уровень привилегий на устройстве, злоумышленник может изменить настройки, чтобы разрешить необходимый ему трафик. Это может позволить, например, организовать связь с командным сервером с помощью цепочки прокси-серверов или эксфильтровать данные путем дублирования трафика. Злоумышленники могут также атаковать внутренние устройства, ответственные за сегментацию сети, и использовать их вместе с внутренним прокси-сервером для достижения тех же целей. Если пограничное устройство разделяет две организации, злоумышленник может использовать его для перемещения в среду новой жертвы.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vk_cloud: PT-CR-2095: VK_Cloud_Router_Public_Address_Assign: Маршрутизатору назначен публичный адрес, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Поток сетевого трафика | Описание | Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными. |
---|
Меры противодействия
ID | M1032 | Название | Многофакторная аутентификация | Описание | Используйте многофакторную аутентификацию для учетных записей пользователей и привилегированных учетных записей. Большинство встроенных сетевых устройств поддерживают TACACS+ и (или) RADIUS. Следуйте предписанным производителем передовым методам усиления контроля доступа. |
---|
ID | M1027 | Название | Парольные политики | Описание | При создании политик паролей руководствуйтесь рекомендациями NIST . |
---|
ID | M1026 | Название | Управление привилегированными учетными записями | Описание | Ограничьте круг людей с доступом к учетным записям администраторов, следуя принципу минимальных привилегий. Предотвратите дублирование учетных данных в системах администраторов и привилегированных учетных записей, особенно между сетевыми и несетевыми платформами, такими как серверы или конечные точки. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | При обнаружении скомпрометированного сетевого устройства, используемого для преодоления границы сети, блокируйте вредоносные пакеты с помощью незатронутого сетевого устройства, например брандмауэра или маршрутизатора, которые не были скомпрометированы. Продолжайте следить за дополнительной активностью и убеждаться в том, что блоки действительно эффективны. |
---|
ID | M1043 | Название | Защита от получения учетных данных | Описание | Некоторые встроенные сетевые устройства способны хранить пароли для локальных учетных записей в открытом или зашифрованном виде. Проследите, чтобы локальные пароли, где это возможно, всегда были зашифрованы в соответствии с рекомендациями производителя. |
---|