Техника на mitre.org

T1602.002: Дамп конфигурации сетевого устройства

Злоумышленники могут получить доступ к файлам конфигурации сети, чтобы собрать конфиденциальные данные об устройстве и сети. Конфигурация сети — это файл с параметрами, которые определяют работу устройства. Устройство обычно сохраняет копию конфигурации в оперативной памяти во время работы и отдельную копию в энергонезависимом хранилище, которая загружается после перезагрузки устройства. Злоумышленники могут исследовать файлы конфигурации, чтобы узнать информацию о сети, включая ее топографию, и сетевом устройстве, включая его программное обеспечение, или найти легитимные учетные записи и данные для входа в систему, чтобы использовать их в дальнейшем.

Для доступа к файлам конфигурации сети могут использоваться общие инструменты и протоколы управления, такие как SNMP и Cisco Smart Install (SMI). Эти инструменты позволяют запросить конкретные данные из хранилища конфигурации или настроить устройство на экспорт конфигурации для последующего анализа.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

network_devices_abnormal_activity: PT-CR-475: Smart_Install_Usage: Возможная эксплуатация уязвимостей в Cisco Smart Install network_devices_compromise: PT-CR-575: Smart_Install_Exploitation_Tool_Usage: Обнаружено использование эксплойта Smart Install Exploitation Tool

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Создание сетевого подключения	Описание	Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или по которым передаются необычные потоки данных. По возможности анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, несанкционированный, посторонний или необычный трафик с попытками получить доступ к данным конфигурации сети).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, несанкционированный, посторонний или необычный трафик с попытками получить доступ к данным конфигурации сети).

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Создание сетевого подключения	Отслеживайте создание сетевых соединений, которые обмениваются данными с недоверенными узлами или по которым передаются необычные потоки данных. По возможности анализируйте содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов прикладного уровня, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, несанкционированный, посторонний или необычный трафик с попытками получить доступ к данным конфигурации сети).
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, несанкционированный, посторонний или необычный трафик с попытками получить доступ к данным конфигурации сети).

Меры противодействия

ID	M1030	Название	Сегментация сети	Описание	Выделите трафик SNMP в отдельную сеть управления.

ID	M1031	Название	Предотвращение сетевых вторжений	Описание	Настройте устройства предотвращения вторжений для обнаружения SNMP-запросов и команд из неавторизованных источников. Создайте сигнатуры для обнаружения использования Smart Install (SMI) из источников, отличных от доверенного директора.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Применяйте расширенные ACL для блокировки неавторизованных протоколов за пределами доверенной сети.

ID	M1041	Название	Шифрование важной информации	Описание	Настройте SNMPv3 на использование самого высокого уровня безопасности (authPriv).

ID	M1051	Название	Обновление ПО	Описание	Обновляйте системные образы и программное обеспечение и переходите на SNMPv3.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Добавьте MIB-объекты в список разрешений и реализуйте представления SNMP. Отключите интеллектуальную установку (SMI), если она не используется.

ID	Название	Описание
M1030	Сегментация сети	Выделите трафик SNMP в отдельную сеть управления.
M1031	Предотвращение сетевых вторжений	Настройте устройства предотвращения вторжений для обнаружения SNMP-запросов и команд из неавторизованных источников. Создайте сигнатуры для обнаружения использования Smart Install (SMI) из источников, отличных от доверенного директора.
M1037	Фильтрация сетевого трафика	Применяйте расширенные ACL для блокировки неавторизованных протоколов за пределами доверенной сети.
M1041	Шифрование важной информации	Настройте SNMPv3 на использование самого высокого уровня безопасности (authPriv).
M1051	Обновление ПО	Обновляйте системные образы и программное обеспечение и переходите на SNMPv3.
M1054	Изменение конфигурации ПО	Добавьте MIB-объекты в список разрешений и реализуйте представления SNMP. Отключите интеллектуальную установку (SMI), если она не используется.