V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1037Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Фильтрация сетевого трафика

Применяйте сетевые устройства и программное обеспечение на конечных точках для фильтрации входящего, исходящего и латерального сетевого трафика. Это включает фильтрацию на основе протоколов, применение правил межсетевого экрана, а также блокировку или ограничение трафика по заданным условиям для ограничения перемещения злоумышленников и эксфильтрации данных. Данная мера может быть реализована следующими способами: Фильтрация входящего трафика: - Сценарий применения: настраивайте сетевые межсетевые экраны для разрешения трафика к публично доступным серверам только с авторизованных IP-адресов. - Реализация: ограничивайте трафик SSH (порт 22) и RDP (порт 3389) конкретными диапазонами IP-адресов. Фильтрация исходящего трафика: - Сценарий применения: используйте межсетевые экраны или программное обеспечение безопасности конечных точек для блокировки несанкционированного исходящего трафика с целью предотвращения эксфильтрации данных и коммуникаций с серверами управления (C2). - Реализация: блокируйте исходящий трафик на известные вредоносные IP-адреса или в регионы, с которыми не предполагается взаимодействие. Фильтрация на основе протоколов: - Сценарий применения: ограничивайте использование конкретных протоколов, которые часто эксплуатируются злоумышленниками, — SMB, RPC или Telnet, — исходя из производственной необходимости. - Реализация: отключайте SMBv1 на конечных точках для предотвращения эксплойтов, подобных EternalBlue. Сегментация сети: - Сценарий применения: создавайте сетевые сегменты для критически важных систем и ограничивайте взаимодействие между сегментами, разрешая его только при явной необходимости. - Реализация: внедряйте VLAN для изоляции устройств IoT или гостевых сетей от основных бизнес-систем. Фильтрация на прикладном уровне: - Сценарий применения: используйте прокси-серверы или межсетевые экраны веб-приложений (WAF) для инспекции и блокировки вредоносного HTTP/S-трафика. - Реализация: настраивайте WAF для блокировки попыток SQL-инъекций или иных техник эксплуатации веб-приложений.

Связанные техники

T1021.002
SMB/административные общие ресурсы Windows
T1021.005
VNC
T1048
Эксфильтрация по альтернативному протоколу
T1048.001
Эксфильтрация по симметрично зашифрованному протоколу не C2
T1048.002
Эксфильтрация по асимметрично зашифрованному протоколу не C2
T1048.003
Эксфильтрация по незашифрованному протоколу не C2
T1071
Протокол прикладного уровня
T1071.001
Веб-протоколы
T1071.002
Протоколы передачи файлов
T1071.003
Почтовые протоколы
T1071.004
DNS
T1071.005
Протоколы публикации/подписки
T1090
Прокси
T1090.003
Многоузловой прокси
T1095
Протокол не прикладного уровня
T1105
Передача инструмента входящего трафика
T1187
Принудительная аутентификация
T1190
Эксплуатация общедоступного приложения
T1197
Задания BITS
T1205
Сигнализация трафика
T1205.001
Стук в порт
T1205.002
Фильтры сокетов
T1218
Проксирование выполнения с помощью системных двоичных файлов
T1218.012
Verclsid
T1219
Инструменты удаленного доступа
T1219.002
Программное обеспечение для удаленного рабочего стола
T1498
Сетевая атака отказа в обслуживании
T1498.001
Прямая сетевая флуд-атака
T1498.002
Усиление отражения
T1499
Атака отказа в обслуживании конечной точки
T1499.001
Флуд-атака на исчерпание ОС
T1499.002
Флуд-атака на исчерпание служб
T1499.003
Флуд-атака на исчерпание приложения
T1499.004
Эксплуатация приложения или системы
T1530
Данные из облачного хранилища
T1537
Передача данных в облачную учетную запись
T1552
Незащищенные учетные данные
T1552.005
API метаданных облачного экземпляра
T1557
Атака посредника
T1557.001
Отравление LLMNR/NBT-NS и ретрансляция SMB
T1557.002
Отравление кеша ARP
T1557.003
Спуфинг DHCP
T1570
Передача инструментов внутри сети
T1572
Туннелирование протокола
T1599
Построение моста через сетевую границу
T1599.001
Обход трансляции сетевых адресов
T1602
Данные из репозитория конфигурации
T1602.001
SNMP (выгрузка MIB)
T1602.002
Выгрузка конфигурации сетевого устройства
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.