T1530: Данные из облачных хранилищ

Злоумышленники могут получать данные из облачных хранилищ.

Многие поставщики платформ IaaS (infrastructure as a service) предлагают решения для хранения объектов данных в облаке, например Amazon S3, Azure Storage и Google Cloud Storage. Аналогичным образом в корпоративных платформах SaaS (software as a service), таких как Microsoft 365 и Google Workspace, пользователям доступны облачные хранилища документов через такие сервисы, как OneDrive и Google Drive. А поставщики SaaS-приложений (например, Slack, Confluence, Salesforce и Dropbox) могут предлагать решения для облачного хранения данных как основной или дополнительный вариант использования своей платформы.

Иногда, как в случае с облачными хранилищами на базе IaaS, не существует общего приложения (такого как SQL или Elasticsearch), с помощью которого можно взаимодействовать с хранящимися объектами: вместо этого данные в таких решениях извлекаются непосредственно через облачный API. В SaaS-приложениях злоумышленники могут получать эти данные непосредственно через API или из внутренних объектов облачных хранилищ, а не через внешние приложения или интерфейсы (техника Данные из информационных репозиториев).

Злоумышленники могут собирать конфиденциальные данные из этих облачных хранилищ. Как правило, поставщики предлагают руководства по безопасности, чтобы помочь конечным пользователям настроить свои системы, однако неправильная конфигурация является распространенной проблемой. Известно много инцидентов, когда облачные хранилища защищались ненадлежащим образом: непреднамеренно допускался открытый доступ для неавторизованных пользователей или допускался слишком широкий доступ для всех пользователей или даже доступ для любого анонимного пользователя, не контролируемого системой управления идентификацией и доступом (IAM) и не имеющего даже базовых пользовательских разрешений.

При этом могут оказаться доступными различные виды конфиденциальной информации, например данные кредитных и медицинских карт или другие персональные данные.

Злоумышленники могут получить доступ к объектам в облачном хранилище, используя утекшие учетные данные из репозиториев исходного кода или журналов, или другими способами.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

saltstack: PT-CR-2316: SaltStack_Run_Get_Url_Dir_Command: Выполнена команда Salt для скачивания файла с мастера

Способы обнаружения

IDDS0010Источник и компонент данныхОблачное хранилище: Обращение к облачному хранилищуОписание

Отслеживайте нетипичные запросы к облачным службам хранения данных. Активность неожиданного происхождения может указывать на неправильные разрешения в системе, позволяющие доступ к данным. Подозрительными также считаются случаи, когда после нескольких неудачных попыток доступа пользователь сразу же получает привилегированные права доступа к тому же объекту.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Настройте группы пользователей с разным уровнем привилегий и роли для доступа к облачным хранилищам. Внедрите строгие настройки управления идентификацией и доступом (IAM), чтобы предотвратить доступ к хранилищам для тех приложений, пользователей и сервисов, которым он не требуется. Обеспечьте выдачу временных токенов, а не постоянных учетных данных, особенно в случаях, когда доступ получают объекты за пределами границ внутренней безопасности.

IDM1022НазваниеОграничение разрешений для файлов и каталоговОписание

Используйте списки контроля доступа к системам и объектам хранения.

IDM1032НазваниеМногофакторная аутентификацияОписание

По возможности используйте многофакторную аутентификацию для ограничения доступа к ресурсам и API облачного хранилища.

IDM1037НазваниеФильтрация сетевого трафикаОписание

Поставщики облачных сервисов поддерживают ограничения на основе IP-адресов при доступе к облачным ресурсам. По возможности используйте список разрешенных IP-адресов при управлении учетными записями пользователей, чтобы доступ к данным имели только действительные пользователи и только из ожидаемых диапазонов IP-адресов, что позволит снизить вероятность использования украденных учетных данных для доступа к данным.

IDM1041НазваниеШифрование важной информацииОписание

Шифруйте данные, хранящиеся в облачном хранилище. Большинство провайдеров могут периодически менять управляемые ключи шифрования. Как минимум, план реагирования на инциденты, связанные с утечкой данных из хранилища, должен включать ротацию ключей и проверку влияния на клиентские приложения.

IDM1047НазваниеАудитОписание

Часто проверяйте разрешения на облачных хранилищах, чтобы убедиться, что установлены правильные разрешения, запрещающие открытый или непривилегированный доступ к ресурсам.