Первоначальный доступ
Что такое Первоначальный доступ?
Первоначальный доступТактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
Первоначальный доступ (тактика MITRE ATT&CK TA0001) объединяет техники, которыми противник получает свою первую точку входа в сеть или систему. Сюда относятся spear-phishing с вложениями и ссылками, эксплуатация публично доступных приложений, использование валидных учётных записей, купленных у брокеров первоначального доступа (IAB), компрометация цепочки поставок, drive-by-загрузки и злоупотребление доверительными связями. Это критический рубеж: внешнее давление превращается во внутреннее присутствие, после чего следуют выполнение, закрепление и разведка внутри сети. Защитники приоритизируют устойчивую к фишингу MFA, сокращение поверхности атаки, фильтрацию почты и веба, патчинг внешних сервисов и покрытие EDR на «передовых» конечных точках.
● Примеры
- 01
Компрометация непропатченного VPN-устройства с использованием украденных учётных данных.
- 02
Сотрудник открывает вредоносное вложение OneNote, которое сбрасывает загрузчик.
● Частые вопросы
Что такое Первоначальный доступ?
Тактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые. Относится к категории Защита и операции в кибербезопасности.
Что означает Первоначальный доступ?
Тактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
Как работает Первоначальный доступ?
Первоначальный доступ (тактика MITRE ATT&CK TA0001) объединяет техники, которыми противник получает свою первую точку входа в сеть или систему. Сюда относятся spear-phishing с вложениями и ссылками, эксплуатация публично доступных приложений, использование валидных учётных записей, купленных у брокеров первоначального доступа (IAB), компрометация цепочки поставок, drive-by-загрузки и злоупотребление доверительными связями. Это критический рубеж: внешнее давление превращается во внутреннее присутствие, после чего следуют выполнение, закрепление и разведка внутри сети. Защитники приоритизируют устойчивую к фишингу MFA, сокращение поверхности атаки, фильтрацию почты и веба, патчинг внешних сервисов и покрытие EDR на «передовых» конечных точках.
Как защититься от Первоначальный доступ?
Защита от Первоначальный доступ обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Первоначальный доступ?
Распространённые альтернативные названия: Foothold, Закрепление.
● Связанные термины
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- defense-ops№ 536
Initial Access Broker (IAB)
Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.
- defense-ops№ 397
Выполнение (тактика MITRE)
Тактика MITRE ATT&CK (TA0002), охватывающая техники запуска кода атакующего на локальной или удалённой системе.
- defense-ops№ 817
Закрепление (Persistence)
Тактика MITRE ATT&CK (TA0003), охватывающая техники, позволяющие атакующему сохранять доступ к системе после перезагрузок, смены паролей и реагирования на инциденты.