T1556.009: Политики условного доступа

Злоумышленники могут отключить или изменить политики условного доступа для получения постоянного доступа к скомпрометированным учетным записям. Политики условного доступа обеспечивают дополнительную проверку учетных записей поставщиками удостоверений и системами управления удостоверениями и доступом с целью разрешить или запретить пользователю доступ к ресурсу.

Например, Azure AD, Okta и JumpCloud могут отказать пользователю в доступе к приложениям в зависимости от его IP-адреса, статуса регистрации устройства и наличия многофакторной аутентификации. В некоторых случаях поставщики удостоверений могут отказывать в доступе на основе различных индикаторов, которые могут указывать на повышенный риск. В AWS и GCP политики IAM могут содержать атрибуты condition, которые проверяют произвольные данные, ограничивая или разрешая доступ, — в частности, исходящий IP-адрес, дату запроса и тип запрашиваемых ресурсов или регионов. Эти меры помогают предотвратить несанкционированный доступ к данным или ресурсам в случае компрометации учетных записей, а также ограничить права пользователей необходимым уровнем.

Изменив политики условного доступа, например добавив дополнительные доверенные диапазоны IP-адресов, отключив многофакторную аутентификацию или разрешив использование дополнительных облачных инфраструктур в редко используемых регионах, злоумышленники могут получить постоянный доступ к учетным записям и обойти защитные меры.

Способы обнаружения

IDDS0026Источник и компонент данныхActive Directory: Изменение объекта Active DirectoryОписание

Отслеживайте изменения в настройках безопасности, связанных с политиками условного доступа Azure AD. Например, их можно найти в журнале аудита Azure AD по названию операции: Update Conditional Access policy (Обновление политики условного доступа).

IDDS0025Источник и компонент данныхОблачная служба: Изменения в облачной службеОписание

Отслеживайте изменения в политиках условного доступа, используемых поставщиками удостоверений SaaS (software as a service), внутренними удостоверениями IaaS (infrastructure as a service) и системами управления доступом.

Меры противодействия

IDM1018НазваниеУправление учетными записямиОписание

Ограничьте права на изменение политик условного доступа, оставив лишь самые необходимые.