MITRE ATT&CK - Техника Эксфильтрация через альтернативную физическую среду

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Эксфильтрация через альтернативную физическую среду

Sub-techniques (1)

ID	Name
.001	Эксфильтрация через USB

Adversaries may attempt to exfiltrate data via a physical medium, such as a removable drive. In certain circumstances, such as an air-gapped network compromise, exfiltration could occur via a physical medium or device introduced by a user. Such media could be an external hard drive, USB drive, cellular phone, MP3 player, or other removable storage and processing device. The physical medium or device could be used as the final exfiltration point or to hop between otherwise disconnected systems.

ID: T1052

Суб-техники: .001

Тактика(-и): Exfiltration

Платформы: Linux, macOS, Windows

Источники данных: Command: Command Execution, Drive: Drive Creation, File: File Access, Process: Process Creation

Версия: 1.2

Дата создания: 31 May 2017

Последнее изменение: 15 Oct 2021

Контрмера	Описание
Контрмеры
Data Loss Prevention	Use a data loss prevention (DLP) strategy to categorize sensitive data, identify data formats indicative of personal identifiable information (PII), and restrict exfiltration of sensitive data.(Citation: PurpleSec Data Loss Prevention)
Exfiltration Over Physical Medium Mitigation	Disable Autorun if it is unnecessary. (Citation: Microsoft Disable Autorun) Disallow or restrict removable media at an organizational policy level if they are not required for business operations. (Citation: TechNet Removable Media Control)
Limit Hardware Installation	Block users or groups from installing or using unapproved hardware on systems, including USB devices.
Disable or Remove Feature or Program	Remove or deny access to unnecessary and potentially vulnerable software to prevent abuse by adversaries.

Обнаружение

Monitor file access on removable media. Detect processes that execute when removable media are mounted.

Ссылки

Связанные риски

Ничего не найдено

Каталоги

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.