T1602: Данные из репозитория конфигураций

Злоумышленники могут собирать данные об администрируемых устройствах из репозиториев конфигураций. Репозитории конфигураций используются для настройки, администрирования и контроля данных в удаленных системах. Также репозитории конфигураций упрощают удаленный доступ и администрирование устройств.

Злоумышленники могут атаковать эти репозитории, чтобы получить большие объемы конфиденциальных системных данных, связанных с операциями администрирования. Данные из репозиториев конфигураций могут быть доступны через различные протоколы и программное обеспечение. Эти репозитории могут содержать информацию, полезную злоумышленникам на этапе изучения целевых систем.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, шаблоны несанкционированного, постороннего или необычного трафика с попытками получить доступ к данным конфигурации сети).

IDDS0029Источник и компонент данныхСетевой трафик: Создание сетевого подключенияОписание

Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами, а также необычные потоки данных. По возможности анализируйте содержимое пакетов с целью выявления протоколов прикладного уровня, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, шаблоны несанкционированного, постороннего или необычного трафика с попытками получить доступ к данным конфигурации сети).

Меры противодействия

IDM1030НазваниеСегментация сетиОписание

Выделите трафик SNMP в отдельную сеть управления.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Настройте устройства предотвращения вторжений для обнаружения SNMP-запросов и команд из неавторизованных источников.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Применяйте расширенные ACL для блокировки неавторизованных протоколов за пределами доверенной сети.

IDM1041НазваниеШифрование важной информацииОписание

Настройте SNMPv3 на использование самого высокого уровня безопасности (authPriv).

IDM1051НазваниеОбновление ПООписание

Обновляйте системные образы и программное обеспечение и переходите на SNMPv3.

IDM1054НазваниеИзменение конфигурации ПООписание

Добавьте MIB-объекты в список разрешений и реализуйте представления SNMP.