Техника на mitre.org

T1537: Перемещение данных между облачными учетными записями

Злоумышленник может осуществлять эксфильтрацию данных из одной или нескольких облачных учетных записей в отдельную подконтрольную ему облачную учетную запись в той же службе, в том числе путем предоставления совместного доступа, синхронизации или создания резервных копий облачных сред.

Специалист по безопасности, следящий за передачей больших объемов данных за пределы облачной среды по каналам стандартной передачи файлов или по каналам управления, может не обращать внимания на передачу данных в другую учетную запись того же поставщика облачных сервисов. При такой передаче данных могут использоваться существующие API и внутреннее адресное пространство поставщика облачных сервисов для встраивания в обычный трафик или во избежание передачи данных через внешние сетевые интерфейсы.

Злоумышленники также могут использовать облачные механизмы для передачи данных жертвы в подконтрольные им облачные учетные записи, например, путем создания анонимных файлообменных ссылок или, как в Azure, URI подписи общего доступа (SAS).

Известны случаи, когда злоумышленники создавали резервные копии облачных экземпляров и переносили их в отдельные учетные записи.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Мониторинг событий AWS CloudTrail PutBucketLogging, PutBucketWebsite, PutEncryptionConfiguration, PutLifecycleConfiguration, PutReplicationConfiguration, ReplicateObject, RestoreObject и ModifySnapshotAttribute (источник событий — ec2.amazonaws.com), CreateInstanceExportTask (источник событий — ec2.amazonaws.com), при этом в тексте errorMessage/errorCode содержится символ * и responseElements содержит слово «Failure»

Требуется эксперт. Техника обнаруживается только в связке «Продукт PT + эксперт»

Способы обнаружения

ID	DS0010	Источник и компонент данных	Облачное хранилище: Изменения в облачном хранилище	Описание	Отслеживайте необычную передачу файлов между учетными записями и (или) в недоверенные/нестандартные виртуальные частные облака.

ID	DS0020	Источник и компонент данных	Снапшот: Создание снапшота	Описание	Отслеживайте действия с учетными записями, направленные на создание данных, включая снапшоты и резервные копии, и их передачу недоверенным и нестандартным учетным записям.

ID	DS0020	Источник и компонент данных	Снапшот: Изменения в снапшоте	Описание	Отслеживайте действия с учетными записями, направленные на передачу данных, снапшотов и резервных копий недоверенным и нестандартным учетным записям, которые используют того же поставщика облачных сервисов. Отслеживайте необычную передачу файлов между учетными записями и в недоверенные VPC.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы приложений SaaS (software as a service) для выявления случаев несанкционированной передачи данных. Например, в Microsoft 365 события передачи файлов отображаются в журналах аудита с именами `SharingInvitationCreated`, `AnonymousLinkCreated`, `SecureLinkCreated` или `AddedToSecureLink`, при этом в поле `TargetUserOrGroupType` установлено значение `Guest`. В журналах аудита Google Drive на платформе Google Workspace свойство `Visibility` файлов, передаваемых за пределы сети, будет иметь значение `Shared externally`.

ID	DS0010	Источник и компонент данных	Облачное хранилище: Метаданные облачного хранилища	Описание	Периодически сравнивайте инфраструктуру облачного хранилища со стандартной, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	DS0020	Источник и компонент данных	Снапшот: Метаданные снапшота	Описание	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте сетевой трафик на наличие признаков эксфильтрации данных, в частности внимательно проверяйте содержащий собранные данные внутренний трафик неизвестного происхождения или имеющий другие аномальные признаки. По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки, связанных со сбором и эксфильтрацией данных.

ID	DS0010	Источник и компонент данных	Облачное хранилище: Создание облачного хранилища	Описание	Отслеживайте действия с учетными записями, направленные на создание данных, включая снапшоты и резервные копии, и их передачу недоверенным и нестандартным учетным записям.

ID	Источник и компонент данных	Описание
DS0010	Облачное хранилище: Изменения в облачном хранилище	Отслеживайте необычную передачу файлов между учетными записями и (или) в недоверенные/нестандартные виртуальные частные облака.
DS0020	Снапшот: Создание снапшота	Отслеживайте действия с учетными записями, направленные на создание данных, включая снапшоты и резервные копии, и их передачу недоверенным и нестандартным учетным записям.
DS0020	Снапшот: Изменения в снапшоте	Отслеживайте действия с учетными записями, направленные на передачу данных, снапшотов и резервных копий недоверенным и нестандартным учетным записям, которые используют того же поставщика облачных сервисов. Отслеживайте необычную передачу файлов между учетными записями и в недоверенные VPC.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы приложений SaaS (software as a service) для выявления случаев несанкционированной передачи данных. Например, в Microsoft 365 события передачи файлов отображаются в журналах аудита с именами `SharingInvitationCreated`, `AnonymousLinkCreated`, `SecureLinkCreated` или `AddedToSecureLink`, при этом в поле `TargetUserOrGroupType` установлено значение `Guest`. В журналах аудита Google Drive на платформе Google Workspace свойство `Visibility` файлов, передаваемых за пределы сети, будет иметь значение `Shared externally`.
DS0010	Облачное хранилище: Метаданные облачного хранилища	Периодически сравнивайте инфраструктуру облачного хранилища со стандартной, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.
DS0020	Снапшот: Метаданные снапшота	Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте сетевой трафик на наличие признаков эксфильтрации данных, в частности внимательно проверяйте содержащий собранные данные внутренний трафик неизвестного происхождения или имеющий другие аномальные признаки. По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки, связанных со сбором и эксфильтрацией данных.
DS0010	Облачное хранилище: Создание облачного хранилища	Отслеживайте действия с учетными записями, направленные на создание данных, включая снапшоты и резервные копии, и их передачу недоверенным и нестандартным учетным записям.

Меры противодействия

ID	M1057	Название	Предотвращение потери данных	Описание	Предотвращение потери данных позволяет предотвратить и заблокировать передачу конфиденциальных данных лицам за пределами организации.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Настройте соответствующие ограничения на совместное использование данных в облачных сервисах. Например, общий доступ к внешним ресурсам в Microsoft SharePoint и Google Drive можно полностью отключить, заблокировать для определенных доменов или ограничить для определенных пользователей.

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Внедрите ограничения фильтрации на основе сети, чтобы запретить передачу данных в недоверенные VPC.

ID	M1018	Название	Управление учетными записями	Описание	Ограничьте политики пользовательских учетных записей и управления идентификацией и доступом минимально необходимыми привилегиями.

ID	Название	Описание
M1057	Предотвращение потери данных	Предотвращение потери данных позволяет предотвратить и заблокировать передачу конфиденциальных данных лицам за пределами организации.
M1054	Изменение конфигурации ПО	Настройте соответствующие ограничения на совместное использование данных в облачных сервисах. Например, общий доступ к внешним ресурсам в Microsoft SharePoint и Google Drive можно полностью отключить, заблокировать для определенных доменов или ограничить для определенных пользователей.
M1037	Фильтрация сетевого трафика	Внедрите ограничения фильтрации на основе сети, чтобы запретить передачу данных в недоверенные VPC.
M1018	Управление учетными записями	Ограничьте политики пользовательских учетных записей и управления идентификацией и доступом минимально необходимыми привилегиями.