Злоумышленники могут попытаться получить информацию о запущенных в системе облачных службах после получения доступа к ней. Методы могут зависеть от того, какая конкретно модель используется — платформа как услуга (PaaS), инфраструктура как услуга (IaaS) или программное обеспечение как услуга (SaaS). Поставщики облачных решений могут использовать в своих средах различные службы, включая средства непрерывных интеграции и развертывания программного обеспечения (CI/CD), лямбда-функции, Azure AD, а также службы безопасности, такие как AWS GuardDuty и Microsoft Defender for Cloud, и службы журналирования, такие как AWS CloudTrail и Google Cloud Audit Logs.

Злоумышленники могут попытаться получить информацию о службах, имеющихся в среде. API Azure, такие как Azure AD Graph API и Azure Resource Manager API, и инструменты на их основе позволяют составлять списки ресурсов и служб, включая приложения, группы управления, определения ресурсов и политик, а также показывать их взаимосвязи, доступ к которым обеспечивается по идентификационным данным.

Например, существуют такие инструменты, как Stormspotter, открытое ПО для составления списка ресурсов и служб Azure и построения их графа, и Pacu, фреймворк с открытым исходным кодом для эксплуатации AWS, поддерживающий несколько методов обнаружения облачных служб.

Злоумышленники могут использовать полученную информацию для определения дальнейшего поведения — например, получения данных или учетных данных обнаруженных служб или обхода обнаруженных средств защиты посредством отключения или перенастройки средств защиты или отключения или перенастройки облачного журналирования.