对手可能会收集有关受害者主机的相关信息,以便他们更精准地瞄准目标。关于主机的信息可能包括各种细节,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的其他细节(例如:操作系统、语言等)。
01 定义与手法
对手可能会收集有关受害者主机的相关信息,以便他们更精准地瞄准目标。关于主机的信息可能包括各种细节,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的其他细节(例如:操作系统、语言等)。
对手可以通过各种方式收集这些信息,例如通过主动扫描或网络钓鱼的方式直接进行信息收集。对手也可能破坏网站,然后通过一些恶意行为或内容从受访问者那里收集主机信息。同时,受害者信息也可能会通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)将自己的信息暴露给对手。收集这些信息可能会为其他形式的侦察(例如:搜索开放网站/域或搜索开放技术数据库)、建立操作资源(例如:开发能力或获取能力)和/或初始访问(例如:供应链妥协或外部远程服务)提供机会。
02 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
03 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0029 |
网络 扫描 |
响应 内容 |
网络扫描可能会寻找与恶意内容相关的模式,这些内容旨在收集访问者的主机信息。很多此类活动可能有比较高的发生率或者相关事件的假阳性率,并且这些可能都在目标组织可见范围之外发生,使防御者难以发现。因此,检测工作应集中在对手生命周期的相关阶段,例如在初始访问的时候。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
往期推荐
|
|||
|
|||
|
关于我们
云纷科技自成立以来,将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程,基于云原生的分析平台InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。同时,以十年安全管理经验为依托,我们的安全托管服务(MSS)可以为企业提供7×24小时全天候安全保障,全面提高企业安全抵御能力,为抵抗威胁建立可靠屏障。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,协同利用开发能力、开发并调用各类自动以及半自动化工具,为客户提供最切合实际的安全运营服务,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Share this content:
Comments are closed