攻击者可能会收集有关受害者主机的信息,这些信息可以在攻击期间使用。关于主机的信息可能包括各种详细信息,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的细节(例如:操作系统、语言等)。
01 定义与手法
攻击者可能会收集有关受害者主机的信息,这些信息可以在攻击期间使用。关于主机的信息可能包括各种详细信息,包括管理数据(例如:名称、分配的IP、功能等)以及有关其配置的细节(例如:操作系统、语言等)。
攻击者可以通过各种方式收集这些信息,例如通过主动扫描或网络钓鱼获取信息的直接收集操作。攻击者也可能破坏网站,通过恶意内容从访问者那里收集主机信息。有些主机信息也可能通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给对手。收集这些信息可能会为其他形式的探查(例如:搜索开放的网站/域名或搜索开放的技术数据库)、建立运营资源(例如:开发能力或获取能力)、初始访问(例如:供应链泄露或外部远程服务)提供机会。
02 缓解措施
|
名称 |
描述 |
|
被攻破前 |
|
03 检测方法
|
ID |
数据来源 |
数据组件 |
检测方式 |
|
DS0035 |
网络 扫描 |
响应 内容 |
Internet扫描器可用于查找与恶意内容相关的模式,这些恶意内容旨在从访问者那里收集主机信息。许多此类活动可能具有非常高的发生率和假阳率,并且可能发生在目标组织的可见性之外,使防御者难以检测。检测工作可集中在攻击者生命周期的初始访问期间。 |
**参考来源:ATT&CK,胖头鱼编译,欢迎转载,转载请注明出处,非常感谢~~
关于我们
云纷科技自成立以来,就把成为交付“监测-分析-响应”完整能力闭环的下一代MSSP作为自己的使命。我们将“安全运营中心(SOC)”分层分解,以更灵活的模块化方式交付“下一代安全运营服务”;高效整合人、技术和流程。基于云原生和人工智能的安全运营平台——InsightX,为不同的企业客户提供符合现状和中远期发展的安全运营能力。
云纷希望在为客户建立运营体系的同时,结合自身对于安全的理解和知识,以“实践+数据+AI”重塑安全运营链路,最终帮助用户清晰定位威胁、降低风险,提高整体安全水平。
每个企业都需要安全运营
云纷科技
Comments are closed