Сбор данных (Collection, тактика MITRE)
Что такое Сбор данных (Collection, тактика MITRE)?
Сбор данных (Collection, тактика MITRE)Тактика MITRE ATT&CK (TA0009), охватывающая техники сбора интересующей информации перед её эксфильтрацией.
Сбор данных (тактика MITRE ATT&CK TA0009) объединяет техники, которыми противник идентифицирует и подготавливает ценные данные перед эксфильтрацией. Сюда входят снимки экрана, кейлоггинг, мониторинг буфера обмена, запись аудио и видео, архивирование файлов на локальных и сетевых дисках, сбор писем в Microsoft 365 или Google Workspace, автоматизированные скрипты сбора и доступ к облачным хранилищам. Обычно данные сжимаются и шифруются в staging-архивах (.zip, .rar, .7z) во временных каталогах, чтобы экономить полосу пропускания и обходить сигнатуры DLP. Защитники обнаруживают сбор через правила DLP, аудит почтовых ящиков, аномальные паттерны доступа к файлам, создание крупных локальных архивов, EDR-детект API скриншотов и кейлоггеров, а также honey-файлы.
● Примеры
- 01
Атакующий упаковывает все .docx и .xlsx из финансовой шары в один архив в C:\Users\Public\.
- 02
Включение правил пересылки почтового ящика в M365, чтобы отправлять письма руководителей на внешний адрес.
● Частые вопросы
Что такое Сбор данных (Collection, тактика MITRE)?
Тактика MITRE ATT&CK (TA0009), охватывающая техники сбора интересующей информации перед её эксфильтрацией. Относится к категории Защита и операции в кибербезопасности.
Что означает Сбор данных (Collection, тактика MITRE)?
Тактика MITRE ATT&CK (TA0009), охватывающая техники сбора интересующей информации перед её эксфильтрацией.
Как работает Сбор данных (Collection, тактика MITRE)?
Сбор данных (тактика MITRE ATT&CK TA0009) объединяет техники, которыми противник идентифицирует и подготавливает ценные данные перед эксфильтрацией. Сюда входят снимки экрана, кейлоггинг, мониторинг буфера обмена, запись аудио и видео, архивирование файлов на локальных и сетевых дисках, сбор писем в Microsoft 365 или Google Workspace, автоматизированные скрипты сбора и доступ к облачным хранилищам. Обычно данные сжимаются и шифруются в staging-архивах (.zip, .rar, .7z) во временных каталогах, чтобы экономить полосу пропускания и обходить сигнатуры DLP. Защитники обнаруживают сбор через правила DLP, аудит почтовых ящиков, аномальные паттерны доступа к файлам, создание крупных локальных архивов, EDR-детект API скриншотов и кейлоггеров, а также honey-файлы.
Как защититься от Сбор данных (Collection, тактика MITRE)?
Защита от Сбор данных (Collection, тактика MITRE) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Сбор данных (Collection, тактика MITRE)?
Распространённые альтернативные названия: Стейджинг данных, TA0009.
● Связанные термины
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 398
Эксфильтрация
Тактика MITRE ATT&CK (TA0010), охватывающая техники передачи украденных данных из сети жертвы в место, контролируемое атакующим.
- malware№ 590
Кейлоггер
ПО или устройство, регистрирующее нажатия клавиш пользователя для хищения паролей, финансовых данных или сообщений.
- privacy№ 278
Предотвращение утечек данных (DLP)
Набор технологий и политик, которые обнаруживают и блокируют несанкционированный вывод конфиденциальных данных через рабочие станции, сети, почту и облака.
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- malware№ 1083
Шпионское ПО
Вредоносное ПО, скрытно собирающее сведения о пользователе, устройстве или организации и передающее их сторонней стороне.