Техника на mitre.org

T1552.007: API контейнера

Злоумышленники могут собирать учетные данные через API в контейнерной среде. API в таких средах, например API Docker и Kubernetes, позволяют пользователю удаленно управлять ресурсами контейнеров и компонентами кластеров.

Получив доступ к API Docker, злоумышленники могут собирать журналы, содержащие учетные данные для доступа к облачным, контейнерным и другим ресурсам в этой среде. Получив достаточные разрешения, например через учетную запись службы модуля, злоумышленник может использовать API Kubernetes для извлечения учетных данных с сервера API Kubernetes. Среди них могут быть учетные данные, необходимые для аутентификации в API Docker, или секреты из компонентов кластера Kubernetes.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

pt_cs: PT-CR-2863: PTCS_Kubernetes_SA_Token_Read: Получен доступ к токену Kubernetes. С помощью такого токена злоумышленники могут пройти аутентификацию в API Kubernetes и выполнить команды или развить атаку в кластере

Способы обнаружения

ID	DS0002	Источник и компонент данных	Учетная запись пользователя: Аутентификация с помощью учетной записи	Описание	Можно обнаружить использование злоумышленниками учетных данных, например полученных из существующих учетных записей.

ID	DS0017	Источник и компонент данных	Команда: Выполнение команд	Описание	Настройте централизованное ведение журналов, регистрирующих данные об активности компонентов контейнеров и кластеров Kubernetes. Отслеживайте в журналах записи о действиях, направленных на сбор учетных данных для доступа к контейнерной и облачной инфраструктуре, в том числе о совершении вызовов API с целью изучения окружения новыми пользователями или пользователями, которые обычно этого не делают, а также о доступе к журналам Docker через API.

ID	Источник и компонент данных	Описание
DS0002	Учетная запись пользователя: Аутентификация с помощью учетной записи	Можно обнаружить использование злоумышленниками учетных данных, например полученных из существующих учетных записей.
DS0017	Команда: Выполнение команд	Настройте централизованное ведение журналов, регистрирующих данные об активности компонентов контейнеров и кластеров Kubernetes. Отслеживайте в журналах записи о действиях, направленных на сбор учетных данных для доступа к контейнерной и облачной инфраструктуре, в том числе о совершении вызовов API с целью изучения окружения новыми пользователями или пользователями, которые обычно этого не делают, а также о доступе к журналам Docker через API.

Меры противодействия

ID	M1026	Название	Управление привилегированными учетными записями	Описание	Используйте принцип наименьших привилегий для привилегированных учетных записей, таких как учетная запись службы в Kubernetes. Например, если модуль не нужен для доступа к API Kubernetes, по возможности вообще отключите учетную запись службы.

ID	M1035	Название	Ограничение доступа к ресурсам по сети	Описание	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте встроенные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.

ID	M1030	Название	Сегментация сети	Описание	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.

ID	M1018	Название	Управление учетными записями	Описание	Внедрите аутентификацию и управление доступом на основе ролей для API контейнера, чтобы пользователи имели минимально необходимые им привилегии. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.

ID	Название	Описание
M1026	Управление привилегированными учетными записями	Используйте принцип наименьших привилегий для привилегированных учетных записей, таких как учетная запись службы в Kubernetes. Например, если модуль не нужен для доступа к API Kubernetes, по возможности вообще отключите учетную запись службы.
M1035	Ограничение доступа к ресурсам по сети	Ограничьте взаимодействие со службой контейнера управляемыми и защищенными каналами, такими как локальные сокеты Unix или удаленный доступ через SSH. Требуйте безопасного доступа к портам для связи с API по TLS, отключив неаутентифицированный доступ к Docker API и Kubernetes API Server. В кластерах Kubernetes, развернутых в облачных средах, используйте встроенные функции облачной платформы для ограничения диапазонов IP-адресов, которым разрешен доступ к серверу API. По возможности включите доступ к API Kubernetes по принципу "точно в срок" (JIT), чтобы установить дополнительные ограничения на доступ.
M1030	Сегментация сети	Используйте сетевые прокси-серверы, шлюзы и межсетевые экраны, чтобы запретить прямой удаленный доступ к внутренним системам.
M1018	Управление учетными записями	Внедрите аутентификацию и управление доступом на основе ролей для API контейнера, чтобы пользователи имели минимально необходимые им привилегии. При использовании Kubernetes избегайте предоставления пользователям разрешений с метасимволами или добавления пользователей в группу `system:masters`, а также используйте `RoleBindings` вместо `ClusterRoleBindings` для ограничения привилегий пользователей конкретными пространствами имен.