Treinamento de usuário
Treinamento de usuário
Treine os usuários para estarem cientes das tentativas de acesso ou manipulação por parte de um adversário para reduzir o risco de spearphishing bem-sucedido, engenharia social e outras técnicas que envolvem a interação do usuário.
Técnicas abordadas pela mitigação
| Domínio | EU IA | Nome | Usar | |
|---|---|---|---|---|
| Empreendimento | T1557 | Adversário no meio | Treine os usuários para suspeitarem de erros de certificado. Os adversários podem usar seus próprios certificados na tentativa de interceptar o tráfego HTTPS. Erros de certificado podem surgir quando o certificado do aplicativo não corresponde ao esperado pelo host. | |
| .002 | Envenenamento de cache ARP | Treine os usuários para suspeitarem de erros de certificado. Os adversários podem usar seus próprios certificados na tentativa de interceptar o tráfego HTTPS. Erros de certificado podem surgir quando o certificado do aplicativo não corresponde ao esperado pelo host. | ||
| Empreendimento | T1547 | .007 | Execução de inicialização automática de inicialização ou logon : aplicativos reabertos | Manter pressionada a tecla Shift durante o login evita que os aplicativos sejam abertos automaticamente. [1] |
| Empreendimento | T1176 | Extensões de navegador | Feche todas as sessões do navegador quando terminar de usá-las para evitar que extensões potencialmente maliciosas continuem em execução. | |
| Empreendimento | T1185 | Sequestro de sessão do navegador | Feche todas as sessões do navegador regularmente e quando elas não forem mais necessárias. | |
| Empreendimento | T1213 | Dados de repositórios de informações | Desenvolva e publique políticas que definam informações aceitáveis para serem armazenadas em repositórios. | |
| .001 | Confluência | Desenvolva e publique políticas que definam informações aceitáveis para serem armazenadas nos repositórios do Confluence. | ||
| .002 | Ponto de compartilhamento | Desenvolva e publique políticas que definam informações aceitáveis para serem armazenadas em repositórios do SharePoint. | ||
| .003 | Repositórios de código | Desenvolva e publique políticas que definam informações aceitáveis para serem armazenadas em repositórios de código. | ||
| Empreendimento | T1657 | Roubo Financeiro | Treine e teste usuários para identificar técnicas de engenharia social usadas para permitir roubo financeiro. | |
| Empreendimento | T1656 | Representação | Treine os usuários para que estejam cientes dos truques de falsificação de identidade e como combatê-los, por exemplo, confirmando solicitações recebidas por meio de uma plataforma independente, como um telefonema ou pessoalmente, para reduzir o risco. | |
| Empreendimento | T1056 | .002 | Captura de entrada : Captura de entrada GUI | Use o treinamento do usuário como uma forma de conscientizar e levantar suspeitas sobre eventos e caixas de diálogo potencialmente maliciosos (por exemplo: documentos do Office solicitando credenciais). |
| Empreendimento | T1036 | Mascaramento | Treine os usuários para não abrirem anexos de e-mail ou clicarem em links desconhecidos (URLs). Esse treinamento promove hábitos mais seguros em sua organização e limitará muitos dos riscos. | |
| .007 | Extensão de arquivo duplo | Treine os usuários para procurar extensões duplas em nomes de arquivos e, em geral, use o treinamento como uma forma de conscientizar sobre técnicas comuns de phishing e spearphishing e como levantar suspeitas sobre eventos potencialmente maliciosos. | ||
| Empreendimento | T1111 | Interceptação de autenticação multifator | Remova os cartões inteligentes quando não estiverem em uso. | |
| Empreendimento | T1621 | Geração de solicitação de autenticação multifator | Treine os usuários para aceitarem apenas solicitações de 2FA/MFA de tentativas de login iniciadas por eles, para revisar o local de origem da tentativa de login que solicitou as solicitações de 2FA/MFA e para relatar solicitações suspeitas/não solicitadas. | |
| Empreendimento | T1027 | Arquivos ou informações ofuscadas | Certifique-se de que exista uma quantidade finita de pontos de entrada para um sistema de implantação de software com acesso restrito para aqueles necessários para permitir e habilitar software recém-implantado. | |
| Empreendimento | T1003 | OS Credential Dumping | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | |
| .001 | Memória LSASS | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | ||
| .002 | Gerente de contas de segurança | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | ||
| .003 | NTDS | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | ||
| .004 | Segredos LSA | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | ||
| .005 | Credenciais de domínio em cache | Limite a sobreposição de credenciais entre contas e sistemas, treinando usuários e administradores para não usarem a mesma senha para várias contas. | ||
| Empreendimento | T1566 | Phishing | Os usuários podem ser treinados para identificar técnicas de engenharia social e e-mails de phishing. | |
| .001 | Anexo de caça submarina | Os usuários podem ser treinados para identificar técnicas de engenharia social e e-mails de spearphishing. | ||
| .002 | Link de caça submarina | Os usuários podem ser treinados para identificar técnicas de engenharia social e e-mails de spearphishing com links maliciosos, o que inclui phishing para consentimento com OAuth 2.0. Além disso, os usuários podem realizar verificações visuais dos domínios que visitam; no entanto, homógrafos em domínios ASCII e IDN e a ofuscação do esquema de URL podem dificultar as verificações manuais. O treinamento sobre phishing e outros treinamentos em segurança cibernética podem aumentar a conscientização sobre a verificação de URLs antes de visitar os sites. | ||
| .003 | Spearphishing via serviço | Os usuários podem ser treinados para identificar técnicas de engenharia social e mensagens de spearphishing com links maliciosos. | ||
| .004 | Voz de caça submarina | Os usuários podem ser treinados para identificar e denunciar técnicas de engenharia social e tentativas de spearphishing, além de suspeitar e verificar a identidade dos chamadores. [2] | ||
| Empreendimento | T1598 | Phishing para obter informações | Os usuários podem ser treinados para identificar técnicas de engenharia social e tentativas de spearphishing. | |
| .001 | Serviço de caça submarina | Os usuários podem ser treinados para identificar técnicas de engenharia social e tentativas de spearphishing. | ||
| .002 | Anexo de caça submarina | Os usuários podem ser treinados para identificar técnicas de engenharia social e tentativas de spearphishing. | ||
| .003 | Link de caça submarina | Os usuários podem ser treinados para identificar técnicas de engenharia social e tentativas de spearphishing. Além disso, os usuários podem realizar verificações visuais dos domínios que visitam; no entanto, homógrafos em domínios ASCII e IDN e a ofuscação do esquema de URL podem dificultar as verificações manuais. O treinamento sobre phishing e outros treinamentos em segurança cibernética podem aumentar a conscientização sobre a verificação de URLs antes de visitar os sites. | ||
| .004 | Voz de caça submarina | Os usuários podem ser treinados para identificar e denunciar técnicas de engenharia social e tentativas de spearphishing, além de suspeitar e verificar a identidade dos chamadores. [2] | ||
| Empreendimento | T1072 | Ferramentas de implantação de software | Tenha uma política de aprovação rigorosa para uso de sistemas de implantação. | |
| Empreendimento | T1528 | Roubar token de acesso ao aplicativo | Os usuários precisam ser treinados para não autorizar aplicativos de terceiros que não reconheçam. O usuário deve prestar atenção especial ao URL de redirecionamento: se o URL for uma sequência de palavras com erros ortográficos ou complicadas relacionadas a um serviço esperado ou aplicativo SaaS, o site provavelmente está tentando falsificar um serviço legítimo. Os usuários também devem ser cautelosos com as permissões que concedem aos aplicativos. Por exemplo, o acesso offline e o acesso à leitura de e-mails devem suscitar maiores suspeitas porque os adversários podem utilizar APIs SaaS para descobrir credenciais e outras comunicações confidenciais. | |
| Empreendimento | T1539 | Roubar cookie de sessão da Web | Treine os usuários para identificar aspectos de tentativas de phishing em que são solicitados a inserir credenciais em um site que possui o domínio incorreto para o aplicativo no qual estão fazendo login. | |
| Empreendimento | T1221 | Injeção de modelo | Treine os usuários para identificar técnicas de engenharia social e e-mails de spearphishing que poderiam ser usados para entregar documentos maliciosos. | |
| Empreendimento | T1552 | Credenciais não seguras | Certifique-se de que os desenvolvedores e administradores de sistema estejam cientes do risco associado à existência de senhas em texto simples em arquivos de configuração de software que podem ser deixados em sistemas ou servidores de endpoint. | |
| .001 | Credenciais em arquivos | Certifique-se de que os desenvolvedores e administradores de sistema estejam cientes do risco associado à existência de senhas em texto simples em arquivos de configuração de software que podem ser deixados em sistemas ou servidores de endpoint. | ||
| .008 | Mensagens de bate-papo | Certifique-se de que os desenvolvedores e administradores de sistema estejam cientes do risco associado ao compartilhamento de senhas não seguras entre serviços de comunicação. | ||
| Empreendimento | T1204 | Execução do usuário | Use o treinamento de usuários como uma forma de conscientizar sobre técnicas comuns de phishing e spearphishing e como levantar suspeitas sobre eventos potencialmente maliciosos. | |
| .001 | Link malicioso | Use o treinamento de usuários como uma forma de conscientizar sobre técnicas comuns de phishing e spearphishing e como levantar suspeitas sobre eventos potencialmente maliciosos. | ||
| .002 | Arquivo malicioso | Use o treinamento de usuários como uma forma de conscientizar sobre técnicas comuns de phishing e spearphishing e como levantar suspeitas sobre eventos potencialmente maliciosos. | ||
| .003 | Imagem maliciosa | Treine os usuários para que estejam cientes da existência de imagens maliciosas e como evitar a implantação de instâncias e contêineres delas. | ||
| Empreendimento | T1078 | Contas válidas | Os aplicativos podem enviar notificações push para verificar um login como uma forma de autenticação multifator (MFA). Treine os usuários para aceitar apenas notificações push válidas e relatar notificações push suspeitas. | |
| .002 | Contas de Domínio | Os aplicativos podem enviar notificações push para verificar um login como uma forma de autenticação multifator (MFA). Treine os usuários para aceitar apenas notificações push válidas e relatar notificações push suspeitas. | ||
| .004 | Contas na nuvem | Os aplicativos podem enviar notificações push para verificar um login como uma forma de autenticação multifator (MFA). Treine os usuários para aceitar apenas notificações push válidas e relatar notificações push suspeitas. | ||
Comentários
Postar um comentário