ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1213

术语表: /attack/glossary

信息库中的数据

攻击者可以利用信息库来挖掘有价值的信息。 信息库是存储信息的工具,通常用于促进用户之间的协作或信息共享,并可以存储各种各样的数据,这些数据可能有助于攻击者实现进一步的目标,或者直接访问靶机信息。 以下是可能对攻击者有用的示例信息的简要列表,也可能在信息库中找到: - 政策、程序和标准 - 物理/逻辑网络图 - 系统架构图 - 技术系统文档 - 测试/开发凭据 - 工作/项目时间表 - 源代码片段 指向网络共享和其他特定于内部资源的公共信息存储库的链接包括: Microsoft SharePoint 存在于许多企业网络中,通常用于存储和共享大量文档。 Atlassian Confluence Confluence 通常与 Atlassian JIRA 一起在开发环境中使用,通常用于存储与开发相关的文档。

缓解

缓解为了信息收集对信息库的攻击访问: 开发和发布定义存储的可接受信息的策略 适当实现访问控制机制,包括身份验证和适当的授权 执行最小特权原则 定期审查帐户的特权 减少对可能用于访问存储库的有效帐户的访问

检测

由于信息库通常具有相当大的用户群,因此检测恶意使用可能并非易事。 至少应该密切监视特权用户(例如,Active Directory 域、企业或模式管理员)对信息库的访问,并发出告警,因为这些类型的帐户通常不应该用于访问信息库。 如果该功能存在,那么监视和对检索和查看大量文档和页面的用户进行告警可能很有价值;这可能表示用于检索存储库中的所有数据的编程方法。 在高度成熟的环境中,可以利用用户行为分析 (UBA) 平台来检测和对基于用户的异常的告警。 可以将Microsoft SharePoint 中的用户访问日志配置为报告对特定页面和文档的访问。 也可以配置 Atlassian 的 Confluence 中的用户访问日志记录为通过 AccessLogFilter 报告对特定页面和文档的访问。 可能需要额外的日志存储和分析基础设施来实现更鲁棒的检测功能。