V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1035Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Ограничение доступа к ресурсам по сети

Ограничивайте доступ к сетевым ресурсам — файловым ресурсам, удалённым системам и службам — исключительно для пользователей, учётных записей или систем, имеющих обоснованную производственную необходимость. Это может включать применение технологий сетевых концентраторов, шлюзов RDP и моделей доступа к сети с нулевым доверием (ZTNA), а также усиление защиты служб и протоколов. Данная мера может быть реализована следующими способами: Аудит и ограничение доступа: - Регулярно проверяйте права доступа к файловым ресурсам, сетевым службам и инструментам удалённого доступа. - Удаляйте избыточные права доступа и применяйте принцип наименьших привилегий для пользователей и служб. - Используйте Active Directory и инструменты IAM для ограничения доступа на основе ролей и атрибутов. Развёртывание защищённых решений удалённого доступа: - Используйте шлюзы RDP, VPN-концентраторы и решения ZTNA для агрегации и защиты подключений удалённого доступа. - Настраивайте средства контроля доступа для ограничения подключений по времени, устройству и идентификатору пользователя. - Требуйте МФА для всех механизмов удалённого доступа. Отключение ненужных служб: - Определяйте работающие службы с помощью инструментов netstat (Windows/Linux) или Nmap. - Отключайте неиспользуемые службы — Telnet, FTP и устаревшие версии SMB — для сокращения поверхности атаки. - Применяйте правила межсетевого экрана для блокировки трафика на неиспользуемых портах и протоколах. Сегментация и изоляция сети: - Используйте VLAN, межсетевые экраны или микросегментацию для изоляции критически важных сетевых ресурсов от общего доступа. - Ограничивайте взаимодействие между подсетями для предотвращения перемещения внутри периметра. Мониторинг и ведение журналов доступа: - Отслеживайте попытки доступа к файловым ресурсам, RDP и удалённым сетевым ресурсам с помощью инструментов SIEM. - Включайте аудит и ведение журналов успешных и неудачных попыток доступа к ограниченным ресурсам. *Инструменты реализации* Управление файловыми ресурсами: - Групповые политики Microsoft Active Directory - Samba (управление файловыми ресурсами Linux/Unix) - AccessEnum (инструмент аудита доступа Windows) Защищённый удалённый доступ: - Microsoft Remote Desktop Gateway - Apache Guacamole (открытый шлюз RDP/VNC) - Решения нулевого доверия: Tailscale, Cloudflare Zero Trust Усиление служб и протоколов: - Nmap или Nessus для обнаружения сетевых служб - Редактор групповых политик Windows для отключения SMBv1, Telnet и устаревших протоколов - iptables или firewalld (Linux) для блокировки ненужного трафика Сегментация сети: - pfSense для открытой сетевой изоляции

Связанные техники

T1021
Удаленные службы
T1021.001
Протокол удаленного рабочего стола
T1021.002
SMB/административные общие ресурсы Windows
T1133
Внешние службы удаленного доступа
T1190
Эксплуатация общедоступного приложения
T1200
Добавление аппаратных средств
T1542
Предварительная загрузка ОС
T1542.005
Загрузка TFTP
T1546.008
Специальные возможности
T1552
Незащищенные учетные данные
T1552.005
API метаданных облачного экземпляра
T1552.007
API контейнера
T1557
Атака посредника
T1557.002
Отравление кеша ARP
T1563.002
Перехват RDP
T1609
Команды администрирования контейнеров
T1610
Развертывание контейнера
T1612
Сборка образа на хосте
T1613
Обнаружение контейнеров и ресурсов
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.