T1591.004: ІДЕНТИФІКАЦІЯ РОЛЕЙ
Зловмисники збирають дані про посади, обов'язки та рівні доступу співробітників усередині організації. Знання ролей дозволяє хакеру зрозуміти, хто має ключі від серверної (системні адміністратори), хто розпоряджається бюджетом (фінансовий відділ) або хто має доступ до конфіденційних розробок. Це допомагає обрати ціль для атаки так, щоб отримати максимальний результат з мінімальними зусиллями.
ТЕХНІЧНИЙ ОПИС
Зловмисники можуть збирати інформацію про ідентичності та ролі всередині організації-жертви, яка може бути використана під час вибору цілі. Інформація про бізнес-ролі може розкрити безліч деталей для націлювання, включаючи ідентифікаційну інформацію ключового персоналу, а також те, до яких даних або ресурсів вони мають доступ.
Зловмисники можуть збирати цю інформацію різними способами, наприклад, через пряме виманювання за допомогою Фішингу для отримання інформації. Інформація про бізнес-ролі також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, соціальні мережі або пошук на вебсайтах, що належать жертві).
Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, фішинг або пошук на відкритих вебсайтах/доменах), створення оперативних ресурсів (створення або компрометація акаунтів) та/або початкового доступу (фішинг).
Які ролі є «найбажанішими» для хакера?
- Привілейовані користувачі (Admins): Системні адміністратори, адміністратори баз даних (DBA) та спеціалісти з безпеки. Їхні облікові записи дають «ключі від королівства».
- Фінансові розпорядники (CFO/Бухгалтерія): Люди, які мають право підписувати платежі. На них націлені атаки типу BEC (Business Email Compromise) для крадіжки грошей через підроблені інвойси.
- Керівництво (C-level): Директори мають доступ до стратегічних планів. Крім того, листи від імені директора («Whaling») мають величезний авторитет серед підлеглих.
- Нові співробітники: Вони ще не знають усіх правил безпеки та корпоративної культури, тому є легкими жертвами для соціальної інженерії («Я твій керівник, мені терміново потрібен твій пароль для налаштування…»).
- HR та Рекрутери: Вони постійно відкривають вкладені файли (резюме) від невідомих людей, що робить їх ідеальними точками входу для завантаження вірусів.
Де зловмисники шукають дані про ролі?
- LinkedIn: Найпотужніший інструмент. Хакер бачить не тільки посаду, а й список технологій, з якими працює людина (наприклад, “Адміністратор SAP”), що видає склад ПЗ компанії.
- Сайт компанії: Розділи «Про нас», «Команда», «Контакти».
- Наукові конференції та вебінари: Спікери часто вказують свою роль та спеціалізацію.
- Реєстри декларацій (для держслужбовців): В Україні публічні декларації дозволяють точно визначити посаду та повноваження особи.
Як захиститися?
- Анонімізація критичних ролей: Не публікуйте ПІБ адміністраторів або інженерів безпеки у відкритому доступі. На сайті вказуйте лише загальні пошти типу support@ або it-department@.
- Гігієна в соцмережах: Навчіть співробітників (особливо керівників) не викладати занадто детальну інформацію про свої обов’язки та структуру відділу.
- Захист «VIP-персон»: Облікові записи керівництва та адміністраторів повинні мати найсуворіші налаштування безпеки (апаратні ключі MFA, моніторинг аномальної активності).
- Навчання HR та фінансистів: Проводьте регулярні тренінги з виявлення специфічного фішингу, націленого на ці вразливі ролі.