Матрица MITRE ATT&CK

Техника на mitre.org

T1098.006: Дополнительные роли для кластера контейнеров

Злоумышленник может добавить дополнительные роли или разрешения в контролируемую им учетную запись пользователя или службы, чтобы сохранить постоянный доступ к системе оркестрации контейнеров. Например, злоумышленник с достаточными полномочиями может создать объект RoleBinding или ClusterRoleBinding, чтобы привязать объект Role или ClusterRole к учетной записи Kubernetes. Если используется контроль доступа на основе атрибутов (ABAC), злоумышленник, обладающий достаточными полномочиями, может изменить политику ABAC в Kubernetes, чтобы предоставить нужной учетной записи дополнительные полномочия.

Изменение учетной записи может следовать сразу за созданием учетной записи или другими вредоносными действиями с учетными записями. Злоумышленники также могут изменять существующие учетные записи, подвергшиеся компрометации.

Следует отметить, что при развертывании систем оркестрации контейнеров в облачных средах (например, Google Kubernetes Engine, Amazon Elastic Kubernetes Service и Azure Kubernetes Service) облачные политики управления доступом на основе ролей (RBAC) или политики ABAC часто могут использоваться вместо локальных разрешений или в дополнение к ним. В таких случаях эта техника может использоваться в сочетании с дополнительными облачными ролями.

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Изменения в учетной записи	Описание	Собирайте журналы использования учетных записей и отслеживайте необычную активность при назначении ролей этим учетным записям. Отслеживайте учетные записи, имеющие назначенные роли с высокими привилегиями в кластере и не входящие в перечень известных администраторов.

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Изменения в учетной записи	Собирайте журналы использования учетных записей и отслеживайте необычную активность при назначении ролей этим учетным записям. Отслеживайте учетные записи, имеющие назначенные роли с высокими привилегиями в кластере и не входящие в перечень известных администраторов.

Меры противодействия

ID	M1032	Название	Многофакторная аутентификация	Описание	Требуйте многофакторной аутентификации для учетных записей пользователей, интегрированных в контейнерные кластеры посредством облачных развертываний или протоколов аутентификации, таких как LDAP или SAML.

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы у учетных записей с низким уровнем привилегий не было прав на выдачу разрешений учетным записям или обновление ролей для кластеров контейнеров.

ID	Название	Описание
M1032	Многофакторная аутентификация	Требуйте многофакторной аутентификации для учетных записей пользователей, интегрированных в контейнерные кластеры посредством облачных развертываний или протоколов аутентификации, таких как LDAP или SAML.
M1018	Управление учетными записями	Проследите, чтобы у учетных записей с низким уровнем привилегий не было прав на выдачу разрешений учетным записям или обновление ролей для кластеров контейнеров.