Техника на mitre.org

T1078.004: Облачные учетные записи

Злоумышленники могут использовать действующие учетные записи в облачных средах для первоначального доступа, закрепления, повышения привилегий или предотвращения обнаружения. Облачные учетные записи создаются и настраиваются организацией для работы пользователей и служб, удаленной поддержки, а также администрирования ресурсов, предоставляемых поставщиком облачных сервисов или SaaS-приложением. Такие учетные записи могут быть полностью облачными или гибридными; гибридные учетные записи используются одновременно в локальных системах и облачных средах, обеспечивая подключение к ресурсам с помощью технологий синхронизации или федеративного доступа через другие службы идентификации, такие как Windows Active Directory .

Злоумышленники могут попытаться получить доступ к целевой среде, взломав учетные записи пользователей или служб методом перебора, с помощью фишинга или используя другие техники. Через федеративные или синхронизированные учетные записи злоумышленники могут атаковать как локальные системы, так и облачные среды, например используя общие учетные данные для входа в службы удаленного доступа. Федеративные, синхронизированные и полностью облачные учетные записи с высоким уровнем привилегий могут использоваться злоумышленниками для перемещения в локальные системы путем выполнения команд на устройствах, подключенных к гибридным средам, с помощью средств развертывания ПО, предоставляемых по модели SaaS (software as service).

Злоумышленники могут создавать долгосрочные дополнительные облачные учетные данные в скомпрометированных облачных учетных записях для закрепления в целевой среде. Такие учетные данные также могут использоваться для обхода защитных механизмов, например, многофакторной аутентификации.

Облачные учетные записи также могут различными способами получать временный привилегированный доступ к облачным ресурсам или другие привилегии в целевой среде. Злоумышленники могут воспользоваться ошибками, допущенными при назначении ролей или создании политик принятия ролей, и использовать эти механизмы для получения разрешений, не предусмотренных для конкретной учетной записи. Такие учетные записи с повышенным уровнем привилегий могут использоваться для сбора конфиденциальных данных из онлайн-хранилищ и баз данных через облачный API или с помощью других методов.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

yandex_cloud: PT-CR-811: Yandex_Cloud_API_Suspicious_Access: Обнаружено обращение к API yandex_cloud: PT-CR-1257: Yandex_Cloud_Kubernetes_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-1251: Yandex_Cloud_Cluster_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки кластера yandex_cloud: PT-CR-1266: Yandex_Cloud_Security_Group_Manipulation: Пользователь выполнил действия с группой безопасности yandex_cloud: PT-CR-1250: Yandex_Cloud_Cluster_Admin_Role_Assign: Пользователю назначены права yandex_cloud: PT-CR-1267: Yandex_Cloud_Symmetric_Key_Access_Manage: Изменены права доступа к симметричному ключу yandex_cloud: PT-CR-817: Yandex_Cloud_Secret_Access_Manage: Изменены права доступа к секрету yandex_cloud: PT-CR-1259: Yandex_Cloud_Kubernetes_External_Address_Connection: Обнаружено подключение с внешнего адреса к кластеру Kubernetes yandex_cloud: PT-CR-1268: Yandex_Cloud_Virtual_Machine_AWS_Token_Enable: Получение ключей доступа к учетным данным IAM с помощью метаданных AWS включено на виртуальной машине yandex_cloud: PT-CR-1260: Yandex_Cloud_Kubernetes_Nodes_Potentially_Dangerous_Setting_Enable: Обнаружено включение потенциально опасной настройки группы узлов кластера yandex_cloud: PT-CR-818: Yandex_Cloud_Service_Account_Suspicious_Activity: Обнаружена активность сервисной учетной записи из диапазона IP-адресов вне облака yandex_cloud: PT-CR-825: Yandex_Cloud_Virtual_Machine_Suspicious_Service_Account_Assign: Виртуальной машине назначен сервисный аккаунт, имеющий доступ к секретам yandex_cloud: PT-CR-1262: Yandex_Cloud_Membership_Manage_Role_Assign: Пользователь назначил права на управление членством в группах IAM yandex_cloud: PT-CR-816: Yandex_Cloud_Privileged_Accounts_Activity: Обнаружена активность привилегированной учетной записи yandex_cloud: PT-CR-1249: Yandex_Cloud_Admin_Role_Assign: Пользователь назначил административные права доступа к каталогу или облаку yandex_cloud: PT-CR-1265: Yandex_Cloud_Security_Group_Insecure_ACL_Assign: Группе безопасности назначен небезопасный список контроля доступа yandex_cloud: PT-CR-810: Yandex_Cloud_Access_Key_Manipulation: Создан или удален ключ доступа yandex_cloud: PT-CR-1256: Yandex_Cloud_Identity_Federation_Change: Пользователь изменил федерацию удостоверений yandex_cloud: PT-CR-1252: Yandex_Cloud_Cluster_User_Manage: Пользователь создал или изменил учетную запись пользователя yandex_cloud: PT-CR-815: Yandex_Cloud_Cluster_Creation_By_Not_Admin: Пользователь не из списка администраторов создал кластер microsoft_exchange: PT-CR-2434: Exchange_Distribution_Group_Member_Added: Попытка добавить пользователя в группу рассылки vk_cloud: PT-CR-2102: VK_Cloud_Keypair_Operation: Пользователь не из списка разрешенных выполнил действие с ключевой парой. Это может свидетельствовать о попытке злоумышленника установить нелегитимное подключение к виртуальной машине по SSH или ограничить возможность легитимного подключения к узлу vk_cloud: PT-CR-2105: VK_Cloud_VM_Security_Group_Operation: Пользователь не из списка разрешенных изменил список групп безопасности виртуальной машины, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Отслеживайте активность облачных учетных записей для выявления аномального или вредоносного поведения, такого как доступ к информации, не имеющей отношения к данной учетной записи, использование учетной записи в нестандартное время или авторизация в данной учетной записи из неожиданных мест или IP-адресов. Доступ к учетным записям служб должен осуществляться только с IP-адресов, относящихся к облачной среде. Например, в средах Azure AD по возможности используйте функцию защиты идентификации, чтобы отмечать сомнительные попытки входа исходя из их местоположения, уровня соответствия устройства установленным требованиям и других факторов. В средах Okta настройте функцию отчетов о подозрительной активности (Suspicious Activity Reporting), чтобы пользователи могли сообщать о подозрительных попытках входа и других необычных действиях.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Создание сеанса входа в систему	Описание	Отслеживайте подозрительные действия с учетными записями облачных сервисов, которые имеют доступ к нескольким системам.

ID	DS0028	Источник и компонент данных	Сеанс входа в систему: Метаданные сеанса входа в систему	Описание	Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Отслеживайте активность облачных учетных записей для выявления аномального или вредоносного поведения, такого как доступ к информации, не имеющей отношения к данной учетной записи, использование учетной записи в нестандартное время или авторизация в данной учетной записи из неожиданных мест или IP-адресов. Доступ к учетным записям служб должен осуществляться только с IP-адресов, относящихся к облачной среде. Например, в средах Azure AD по возможности используйте функцию защиты идентификации, чтобы отмечать сомнительные попытки входа исходя из их местоположения, уровня соответствия устройства установленным требованиям и других факторов. В средах Okta настройте функцию отчетов о подозрительной активности (Suspicious Activity Reporting), чтобы пользователи могли сообщать о подозрительных попытках входа и других необычных действиях.
DS0028	Сеанс входа в систему: Создание сеанса входа в систему	Отслеживайте подозрительные действия с учетными записями облачных сервисов, которые имеют доступ к нескольким системам.
DS0028	Сеанс входа в систему: Метаданные сеанса входа в систему	Сопоставляйте сведения других систем безопасности с информацией о входе (например, данные о пользователе, который вошел в систему, но не находится в здании и не имеет доступа через VPN).

Меры противодействия

ID	M1015	Название	Конфигурация Active Directory	Описание	Отключите устаревшую аутентификацию, которая не поддерживает многофакторную аутентификацию (MFA); используйте современные протоколы аутентификации.

ID	M1017	Название	Обучение пользователей	Описание	Приложения могут отправлять уведомления для подтверждения входа в систему (многофакторная аутентификация). Научите пользователей подтверждать только действительные уведомления и сообщать о подозрительных уведомлениях.

ID	M1018	Название	Управление учетными записями	Описание	Проводите проверки учетных записей пользователей и удаляйте те из них, которые больше не нужны или неактивны. Ограничьте возможности учетных записей пользователей по созданию дополнительных учетных записей.

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Регулярно проверяйте уровни разрешений привилегированных облачных учетных записей, чтобы найти те, которые могут позволить злоумышленникам получить широкий доступ — например, глобальный администратор и администратор привилегированной роли в Azure AD. В ходе проверок также следует выяснять, не были ли несанкционированно созданы новые привилегированные облачные учетные записи. Например, в средах Azure AD настройте оповещения о том, что учетные записи уже много дней не используют привилегированные роли, поскольку эти роли могут быть удалены. По возможности используйте временный привилегированный доступ к ресурсам Azure AD, избегая постоянного назначения привилегированных ролей.

ID	M1027	Название	Парольные политики	Описание	Проследите, чтобы облачные учетные записи на всех системах в сети, особенно привилегированные, имели сложные уникальные пароли. Пароли и ключи доступа следует регулярно менять. Это ограничивает время, в течение которого учетные данные могут использоваться для доступа к ресурсам, если учетные данные были скомпрометированы без вашего ведома. Поставщики облачных сервисов могут отслеживать возраст ключей доступа, чтобы помочь провести аудит и выявить ключи, которые могут нуждаться в ротации.

ID	M1032	Название	Многофакторная аутентификация	Описание	Используйте многофакторную аутентификацию для облачных учетных записей, особенно привилегированных. Доступна реализация в различных формах (например, аппаратная, виртуальная, SMS) и проверка с помощью функций административной отчетности.

ID	M1036	Название	Политики использования учетных записей	Описание	Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.

ID	Название	Описание
M1015	Конфигурация Active Directory	Отключите устаревшую аутентификацию, которая не поддерживает многофакторную аутентификацию (MFA); используйте современные протоколы аутентификации.
M1017	Обучение пользователей	Приложения могут отправлять уведомления для подтверждения входа в систему (многофакторная аутентификация). Научите пользователей подтверждать только действительные уведомления и сообщать о подозрительных уведомлениях.
M1018	Управление учетными записями	Проводите проверки учетных записей пользователей и удаляйте те из них, которые больше не нужны или неактивны. Ограничьте возможности учетных записей пользователей по созданию дополнительных учетных записей.
M1026	Управление привилегированными учетными записями	Регулярно проверяйте уровни разрешений привилегированных облачных учетных записей, чтобы найти те, которые могут позволить злоумышленникам получить широкий доступ — например, глобальный администратор и администратор привилегированной роли в Azure AD. В ходе проверок также следует выяснять, не были ли несанкционированно созданы новые привилегированные облачные учетные записи. Например, в средах Azure AD настройте оповещения о том, что учетные записи уже много дней не используют привилегированные роли, поскольку эти роли могут быть удалены. По возможности используйте временный привилегированный доступ к ресурсам Azure AD, избегая постоянного назначения привилегированных ролей.
M1027	Парольные политики	Проследите, чтобы облачные учетные записи на всех системах в сети, особенно привилегированные, имели сложные уникальные пароли. Пароли и ключи доступа следует регулярно менять. Это ограничивает время, в течение которого учетные данные могут использоваться для доступа к ресурсам, если учетные данные были скомпрометированы без вашего ведома. Поставщики облачных сервисов могут отслеживать возраст ключей доступа, чтобы помочь провести аудит и выявить ключи, которые могут нуждаться в ротации.
M1032	Многофакторная аутентификация	Используйте многофакторную аутентификацию для облачных учетных записей, особенно привилегированных. Доступна реализация в различных формах (например, аппаратная, виртуальная, SMS) и проверка с помощью функций административной отчетности.
M1036	Политики использования учетных записей	Используйте политики условного доступа, чтобы блокировать вход с устройств, которые не соответствуют требованиям или имеют IP-адреса вне диапазонов, определенных для организации.