Матрица MITRE ATT&CK

Техника на mitre.org

T1021.007: Облачные сервисы

Злоумышленники могут входить в облачные сервисы, доступные из скомпрометированной среды, используя существующие учетные записи, которые синхронизированы или связаны с локальными удостоверениями пользователей. После этого злоумышленники могут выполнять действия по управлению облачным ресурсом или получать доступ к нему от имени вошедшего в систему пользователя.

Многие организации связывают централизованно управляемые пользовательские удостоверения с облачными сервисами, позволяя пользователям выполнять вход через свои доменные учетные данные для доступа к уровню управления облаком. Аналогичным образом злоумышленники могут подключаться к доступным облачным сервисам через веб-консоль или интерфейс командной строки (например, для реализации техники Облачный API), используя различные команды — например, Connect-AZAccount для Azure PowerShell, Connect-MgGraph для Microsoft Graph PowerShell и gcloud auth login для Google Cloud CLI.

В некоторых случаях злоумышленники могут выполнять аутентификацию в этих сервисах, используя токен доступа к приложению вместо имени пользователя и пароля.

Способы обнаружения

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте попытки входа в систему для получения доступа к облачным службам. Например, в средах Azure AD по возможности используйте функцию защиты идентификации для отслеживания подозрительных попыток входа учетных записей, пытающихся получить доступ к облачным ресурсам .

ID	Источник и компонент данных	Описание
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте попытки входа в систему для получения доступа к облачным службам. Например, в средах Azure AD по возможности используйте функцию защиты идентификации для отслеживания подозрительных попыток входа учетных записей, пытающихся получить доступ к облачным ресурсам .

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Ограничьте количество высокопривилегированных учетных записей в домене и облаке и проследите, чтобы они не использовались для повседневных операций. Проследите, чтобы локальные учетные записи не имели привилегированных разрешений в облаке и чтобы для управления облачными средами использовались изолированные учетные записи, предназначенные только для облака.

ID	M1032	Название	Многофакторная аутентификация	Описание	По возможности используйте многофакторную аутентификацию в облачных сервисах.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Ограничьте количество высокопривилегированных учетных записей в домене и облаке и проследите, чтобы они не использовались для повседневных операций. Проследите, чтобы локальные учетные записи не имели привилегированных разрешений в облаке и чтобы для управления облачными средами использовались изолированные учетные записи, предназначенные только для облака.
M1032	Многофакторная аутентификация	По возможности используйте многофакторную аутентификацию в облачных сервисах.