T1556.009: Политики условного доступа
Злоумышленники могут отключить или изменить политики условного доступа для получения постоянного доступа к скомпрометированным учетным записям. Политики условного доступа обеспечивают дополнительную проверку учетных записей поставщиками удостоверений и системами управления удостоверениями и доступом с целью разрешить или запретить пользователю доступ к ресурсу.
Например, Azure AD, Okta и JumpCloud могут отказать пользователю в доступе к приложениям в зависимости от его IP-адреса, статуса регистрации устройства и наличия многофакторной аутентификации. В некоторых случаях поставщики удостоверений могут отказывать в доступе на основе различных индикаторов, которые могут указывать на повышенный риск. В AWS и GCP политики IAM могут содержать атрибуты condition
, которые проверяют произвольные данные, ограничивая или разрешая доступ, — в частности, исходящий IP-адрес, дату запроса и тип запрашиваемых ресурсов или регионов. Эти меры помогают предотвратить несанкционированный доступ к данным или ресурсам в случае компрометации учетных записей, а также ограничить права пользователей необходимым уровнем.
Изменив политики условного доступа, например добавив дополнительные доверенные диапазоны IP-адресов, отключив многофакторную аутентификацию или разрешив использование дополнительных облачных инфраструктур в редко используемых регионах, злоумышленники могут получить постоянный доступ к учетным записям и обойти защитные меры.
Способы обнаружения
ID | DS0026 | Источник и компонент данных | Active Directory: Изменение объекта Active Directory | Описание | Отслеживайте изменения в настройках безопасности, связанных с политиками условного доступа Azure AD. Например, их можно найти в журнале аудита Azure AD по названию операции: |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Изменения в облачной службе | Описание | Отслеживайте изменения в политиках условного доступа, используемых поставщиками удостоверений SaaS (software as a service), внутренними удостоверениями IaaS (infrastructure as a service) и системами управления доступом. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права на изменение политик условного доступа, оставив лишь самые необходимые. |
---|