ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1199

术语表: /attack/glossary

可信关系

攻击者可能会破坏或利用能够接触到目标受害者的组织。 通过可信的第三方关系利用现有的连接,这些连接可能不受保护或者受到的审查比获取网络访问权的标准机制少。 组织通常授予第二或第三方外部提供商高级访问权限,以允许它们管理内部系统。 这些关系的例子包括IT服务承包商、托管安全供应商、基础设施承包商(例如HVAC、电梯、物理安全)。 第三方提供商的访问权可能被限制在被维护的基础设施内,但是可能与企业的其他部分在相同的网络中。 因此可以攻击并利用其他方用于访问内部网络系统的有效帐户(Valid Accounts)。

缓解

可使用网络分割隔离无需广泛网络访问的基础设施组件。 妥善管理在受信关系中各方使用的帐户和权限,以最大限度地减少在特定方被攻击者攻击后,该方潜在的滥用可能。 审查与需要特权访问网络资源的工作签订合同的组织的安全策略和程序。

检测

监视可能被用作获取网络访问权限的手段的第二和第三方提供商以及其他受信任实体的活动。 攻击者可能在执行操作之前获取有关目标的大量信息的权限,特别是如果受信关系基于IT服务,具体取决于根据关系的类型。 攻击者可能能够快速地对目标采取行动,因此适当地监视与凭据访问(Credential Access)、横向移动(Lateral Movement)和收集(Collection )相关的行为对于检测入侵非常重要。