初始访问
初始访问 是什么?
初始访问MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
初始访问(MITRE ATT&CK 战术 TA0001)汇集了攻击者获得目标网络或系统首个入口所用的各种技术。常见手段包括带附件或链接的鱼叉式钓鱼、利用面向互联网的应用程序、从初始访问中介(IAB)处购买有效账户、供应链入侵、路过式下载以及滥用信任关系。初始访问是一个关键转折点,因为它把外部压力转化为网络内部存在;之后攻击者通常转入执行、持久化和发现阶段。防御者重点关注抗钓鱼的多因素认证、攻击面收敛、邮件和网页过滤、对互联网暴露服务的及时修补,以及在首次接触端点上部署 EDR。
● 示例
- 01
通过被盗凭据登录一台未打补丁的 VPN 设备。
- 02
员工打开恶意的 OneNote 附件,从而运行加载器。
● 常见问题
初始访问 是什么?
MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。 它属于网络安全的 防御与运营 分类。
初始访问 是什么意思?
MITRE ATT&CK 战术 TA0001,涵盖攻击者首次在目标环境中建立立足点所使用的各种技术。
初始访问 是如何工作的?
初始访问(MITRE ATT&CK 战术 TA0001)汇集了攻击者获得目标网络或系统首个入口所用的各种技术。常见手段包括带附件或链接的鱼叉式钓鱼、利用面向互联网的应用程序、从初始访问中介(IAB)处购买有效账户、供应链入侵、路过式下载以及滥用信任关系。初始访问是一个关键转折点,因为它把外部压力转化为网络内部存在;之后攻击者通常转入执行、持久化和发现阶段。防御者重点关注抗钓鱼的多因素认证、攻击面收敛、邮件和网页过滤、对互联网暴露服务的及时修补,以及在首次接触端点上部署 EDR。
如何防御 初始访问?
针对 初始访问 的防御通常结合技术控制与运营实践,详见上方完整定义。
初始访问 还有哪些其他名称?
常见的别称包括: 立足点, 首次落脚。
● 相关术语
- defense-ops№ 265
网络杀伤链
洛克希德·马丁公司提出的七阶段模型,描述有针对性的入侵如何从侦察一路推进到目标行动。
- compliance№ 687
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- defense-ops№ 536
初始访问经纪人(IAB)
专门获取企业网络未授权访问权并出售给其他犯罪者(尤其是勒索软件附属者)的网络犯罪专家。
- defense-ops№ 397
执行(MITRE 战术)
MITRE ATT&CK 战术 TA0002,涵盖让攻击者控制的代码在本地或远程系统上运行的各种技术。
- defense-ops№ 817
持久化
MITRE ATT&CK 战术 TA0003,涵盖让攻击者在重启、凭据更改和事件响应过程中仍能保持对系统访问的各种技术。
● 参见
- № 905侦察