T1562.007: Отключение или перенастройка облачного межсетевого экрана

Злоумышленники могут отключить или перенастроить межсетевой экран в облачной среде, чтобы обойти ограничения доступа к облачным ресурсам. Облачные межсетевые экраны отличаются от системных, атакуемых в технике Отключение или перенастройка системного межсетевого экрана.

В облачных средах обычно применяются строго заданные группы безопасности и правила межсетевого экрана, которые разрешают сетевую активность только с доверенных IP-адресов через допустимые порты и протоколы. Злоумышленник может создать новые правила или политики межсетевого экрана, чтобы получить доступ к облачной среде жертвы. Так, злоумышленник может использовать сценарий или утилиту для создания новых правил в группах безопасности, разрешающих любые входящие соединения TCP/IP, либо для снятия сетевых ограничений, блокирующих вредоносный трафик (например, связанный с майнингом криптовалют).

Перенастройка или отключение облачного межсетевого экрана может позволить злоумышленнику установить связь с командным сервером, перемещаться внутри периметра и эксфильтровать данные, что в противном случае было бы невозможно.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vk_cloud: PT-CR-2098: VK_Cloud_Security_Group_Rule_Operation: Пользователь не из списка разрешенных выполнил действие с правилами группы безопасности, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию vk_cloud: PT-CR-2099: VK_Cloud_Insecure_Address_Pairs_Assign: С порта разрешен выход трафика по маске "0.0.0.0/0", что позволяет обойти все правила с ограничениями исходного IP-адреса для всех портов, которые используют одну и ту же группу безопасности. Это может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию vk_cloud: PT-CR-2097: VK_Cloud_Port_Security_Disabled: Использование групп безопасности отключено для порта, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию vk_cloud: PT-CR-2104: VK_Cloud_Port_Security_Group_Operation: Операции с группами безопасности порта, которые могут свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию

Способы обнаружения

ID	DS0018	Источник и компонент данных	Межсетевой экран: Отключение межсетевого экрана	Описание	Отслеживайте изменения статуса системного межсетевого экрана, в частности события системы аудита безопасности Windows с идентификаторами 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).

ID	DS0018	Источник и компонент данных	Межсетевой экран: Изменения в правилах межсетевого экрана	Описание	Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах.

ID	Источник и компонент данных	Описание
DS0018	Межсетевой экран: Отключение межсетевого экрана	Отслеживайте изменения статуса системного межсетевого экрана, в частности события системы аудита безопасности Windows с идентификаторами 5025 (остановка службы брандмауэра Windows) и 5034 (остановка драйвера брандмауэра Windows).
DS0018	Межсетевой экран: Изменения в правилах межсетевого экрана	Отслеживайте создание и изменение групп безопасности или правил межсетевых экранов в облачных журналах.

Меры противодействия

ID	M1047	Название	Аудит	Описание	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять облачные межсетевые экраны имеют только те пользователи и роли, которым это требуется.

ID	M1018	Название	Управление учетными записями	Описание	Проследите, чтобы по отношению к политикам безопасности управления идентификацией и доступом (IAM) был применен принцип минимальных привилегий.

ID	Название	Описание
M1047	Аудит	Регулярно проверяйте разрешения ролей учетных записей, чтобы убедиться, что право изменять облачные межсетевые экраны имеют только те пользователи и роли, которым это требуется.
M1018	Управление учетными записями	Проследите, чтобы по отношению к политикам безопасности управления идентификацией и доступом (IAM) был применен принцип минимальных привилегий.