T1538: Дашборд облачного сервиса
Злоумышленники могут использовать графический интерфейс дашборда облачного сервиса и украденные учетные данные для получения полезной информации из действующей облачной среды, например о конкретных службах, ресурсах и функциональных возможностях. Например, Security Command Center в Google Cloud можно использовать для просмотра всех ресурсов, обнаружения потенциальных рисков безопасности и выполнения дополнительных запросов, таких как поиск общедоступных IP-адресов и открытых портов.
При некоторых конфигурациях среды злоумышленник может получить больше информации через графический интерфейс дашборда, чем с помощью API. Таким образом злоумышленник может получить информацию, не делая никаких запросов к API.
Способы обнаружения
ID | DS0028 | Источник и компонент данных | Сеанс входа в систему: Создание сеанса входа в систему | Описание | Отслеживайте попытки входа в систему для получения доступа к консолям управления облачными службами. |
---|
ID | DS0002 | Источник и компонент данных | Учетная запись пользователя: Аутентификация с помощью учетной записи | Описание | Сверяйте сведения о входе в систему, такие как учетные записи, IP-адреса и имена пользователей, с данными других систем безопасности. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Чтобы обеспечить использование принципа минимальных привилегий, сделайте панель управления видимой только для тех ресурсов, которым она необходима. Это может снизить ценность обнаружения дашборда для злоумышленников, использующих скомпрометированную учетную запись. |
---|