Разведка (Reconnaissance)
Что такое Разведка (Reconnaissance)?
Разведка (Reconnaissance)Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению.
Разведка — это этап сбора информации, предшествующий вторжению. В MITRE ATT&CK она оформлена как тактика TA0043 и включает такие техники, как сканирование диапазонов IP, сбор имён сотрудников из LinkedIn, OSINT-исследования, перечисление DNS и поиск утёкших учётных данных на paste-сайтах. Это также первая фаза Cyber Kill Chain компании Lockheed Martin. Разведка может быть пассивной — использовать уже опубликованные в интернете данные — или активной, когда атакующий напрямую зондирует цель и может оставлять следы в телеметрии. Защитники снижают её ценность за счёт управления поверхностью атаки, обмана (deception), мониторинга бренда, сервисов takedown и обнаружения подозрительных сканирований или перечислений в сетевых журналах.
● Примеры
- 01
Сбор данных из GitHub-организации компании для поиска жёстко прописанных учётных данных и внутренних имён хостов.
- 02
Массовое сканирование интернета в поиске открытых серверов RDP и баннеров до аутентификации.
● Частые вопросы
Что такое Разведка (Reconnaissance)?
Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению. Относится к категории Защита и операции в кибербезопасности.
Что означает Разведка (Reconnaissance)?
Первая фаза атаки, в которой противник собирает сведения о людях, технологиях и экспозиции цели, прежде чем перейти к проникновению.
Как работает Разведка (Reconnaissance)?
Разведка — это этап сбора информации, предшествующий вторжению. В MITRE ATT&CK она оформлена как тактика TA0043 и включает такие техники, как сканирование диапазонов IP, сбор имён сотрудников из LinkedIn, OSINT-исследования, перечисление DNS и поиск утёкших учётных данных на paste-сайтах. Это также первая фаза Cyber Kill Chain компании Lockheed Martin. Разведка может быть пассивной — использовать уже опубликованные в интернете данные — или активной, когда атакующий напрямую зондирует цель и может оставлять следы в телеметрии. Защитники снижают её ценность за счёт управления поверхностью атаки, обмана (deception), мониторинга бренда, сервисов takedown и обнаружения подозрительных сканирований или перечислений в сетевых журналах.
Как защититься от Разведка (Reconnaissance)?
Защита от Разведка (Reconnaissance) обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- defense-ops№ 265
Cyber Kill Chain
Семиэтапная модель Lockheed Martin, описывающая, как целевая атака развивается от разведки до действий на цели.
- compliance№ 687
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.
- defense-ops№ 072
Управление поверхностью атаки (ASM)
Непрерывное обнаружение, инвентаризация, классификация и мониторинг всех активов, которые делают организацию уязвимой к кибератакам.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.
- defense-ops№ 535
Первоначальный доступ
Тактика MITRE ATT&CK (TA0001), охватывающая техники, с помощью которых атакующие закрепляются в целевой среде впервые.
- defense-ops№ 325
Discovery (тактика MITRE)
Тактика MITRE ATT&CK (TA0007), охватывающая техники изучения скомпрометированной среды после получения доступа.