T1602: Данные из репозитория конфигураций
Злоумышленники могут собирать данные об администрируемых устройствах из репозиториев конфигураций. Репозитории конфигураций используются для настройки, администрирования и контроля данных в удаленных системах. Также репозитории конфигураций упрощают удаленный доступ и администрирование устройств.
Злоумышленники могут атаковать эти репозитории, чтобы получить большие объемы конфиденциальных системных данных, связанных с операциями администрирования. Данные из репозиториев конфигураций могут быть доступны через различные протоколы и программное обеспечение. Эти репозитории могут содержать информацию, полезную злоумышленникам на этапе изучения целевых систем.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
Подтехники
Способы обнаружения
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Содержимое сетевого трафика | Описание | Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, шаблоны несанкционированного, постороннего или необычного трафика с попытками получить доступ к данным конфигурации сети). |
---|
ID | DS0029 | Источник и компонент данных | Сетевой трафик: Создание сетевого подключения | Описание | Отслеживайте недавно созданные сетевые соединения, запросы на которые отправляются или принимаются недоверенными узлами, а также необычные потоки данных. По возможности анализируйте содержимое пакетов с целью выявления протоколов прикладного уровня, использующих проверку SSL/TLS для зашифрованного трафика, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, шаблоны несанкционированного, постороннего или необычного трафика с попытками получить доступ к данным конфигурации сети). |
---|
Меры противодействия
ID | M1030 | Название | Сегментация сети | Описание | Выделите трафик SNMP в отдельную сеть управления. |
---|
ID | M1031 | Название | Предотвращение сетевых вторжений | Описание | Настройте устройства предотвращения вторжений для обнаружения SNMP-запросов и команд из неавторизованных источников. |
---|
ID | M1037 | Название | Фильтрация сетевого трафика | Описание | Применяйте расширенные ACL для блокировки неавторизованных протоколов за пределами доверенной сети. |
---|
ID | M1041 | Название | Шифрование важной информации | Описание | Настройте SNMPv3 на использование самого высокого уровня безопасности (authPriv). |
---|
ID | M1051 | Название | Обновление ПО | Описание | Обновляйте системные образы и программное обеспечение и переходите на SNMPv3. |
---|
ID | M1054 | Название | Изменение конфигурации ПО | Описание | Добавьте MIB-объекты в список разрешений и реализуйте представления SNMP. |
---|