T1578: Изменение облачной вычислительной инфраструктуры
Злоумышленники могут попытаться изменить вычислительную инфраструктуру, связанную с облачной учетной записью, для обхода защитных механизмов. Модификация вычислительной инфраструктуры может включать создание, удаление или изменение одного или нескольких компонентов, таких как вычислительные экземпляры, виртуальные машины и снапшоты.
Изменения в компонентах инфраструктуры могут привести к получению разрешений, которые обойдут ограничения на доступ к существующей инфраструктуре. Изменение компонентов инфраструктуры также может помочь злоумышленнику избежать обнаружения и скрыть следы своего присутствия.
Какие продукты Positive Technologies покрывают технику
Экспертиза MaxPatrol SIEM
vk_cloud: PT-CR-2103: VK_Cloud_VM_Metadata_Contains_Sensitive_Value: Конфиденциальные данные обнаружены в пользовательских метаданных виртуальной машины, что может привести к компрометации облачной инфраструктуры
vk_cloud: PT-CR-2105: VK_Cloud_VM_Security_Group_Operation: Пользователь не из списка разрешенных изменил список групп безопасности виртуальной машины, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию
vk_cloud: PT-CR-2291: VK_Cloud_Critical_VM_Operation: Недоверенный пользователь выполнил операцию с критически важной виртуальной машиной в облачном сервисе VK Cloud. \nЗлоумышленники могут получать доступ к важным виртуальным машинам, управлять ими, изменять их конфигурацию, в том числе сетевую. Это позволит им помешать работе важных виртуальных машин, раскрыть хранящуюся на них информацию и подготовить окружение для развития атаки
vk_cloud: PT-CR-2292: VK_Cloud_VM_Public_Address_Assign: Виртуальной машине назначен публичный адрес, что может свидетельствовать о попытке злоумышленника изменить сетевую конфигурацию
vk_cloud: PT-CR-2305: VK_Cloud_Critical_DB_Operation: Недоверенный пользователь выполнил действие с критически важной базой данных в облачном сервисе VK Cloud.\nЗлоумышленники могут обойти защиту или закрепиться в системе путем изменения, удаления, создания резервной копии или пользователя важной базы данных. Перечисленные действия позволят злоумышленникам получить доступ к закрытой информации, хранящейся в базе данных, и использовать ее для развития атаки
vk_cloud: PT-CR-2306: VK_Cloud_New_VM_from_Critical_Objects: Пользователь создал виртуальную машину из копии критически важного объекта в облачном сервисе VK Cloud. Подобные действия позволяют злоумышленникам получать доступ к данным, хранящимся на важных объектах, за пределами видимости систем безопасности и скрывать следы своих действий. Кроме того, злоумышленники могут попытаться выдать свою виртуальную машину за легитимное устройство
vk_cloud: PT-CR-2307: VK_Cloud_Critical_Objects_Clone: Клонирование, создание мгновенных снимков (snapshot) и резервных копий дисков важных виртуальных машин в облачном сервисе VK Cloud.\nКопирование важных объектов позволяет злоумышленникам получать доступ к хранящимся на них данным, создавать свои виртуальные машины за пределами видимости систем безопасности и скрывать следы своих действий. Полученные данные злоумышленники могут использовать для дальнейшего развития атаки
Подтехники
Способы обнаружения
ID | DS0034 | Источник и компонент данных | Том: Метаданные тома | Описание | Периодически сравнивайте тома блочных облачных хранилищ со стандартными, чтобы выявить изменения и дополнения, внесенные злоумышленниками. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Остановка экземпляра | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с деактивацией экземпляров, происходящие вне рамок плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0020 | Источник и компонент данных | Снапшот: Удаление снапшота | Описание | Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные последовательности событий, включая удаление нескольких снапшотов за короткий период. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0034 | Источник и компонент данных | Том: Удаление тома | Описание | Отслеживайте неожиданное удаление или несанкционированное отсутствие томов блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0020 | Источник и компонент данных | Снапшот: Создание снапшота | Описание | Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные последовательности событий, включая создание нескольких снапшотов за короткий период. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Изменения в экземпляре | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные со снапшотами и откатами, а также изменениями конфигурации ВМ, происходящие вне рамок обычных рабочих процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Удаление экземпляра | Описание | Удаление нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, обнаружение такой последовательности событий, как создание экземпляра, монтирование снапшота к этому экземпляру и удаление этого экземпляра от имени новой учетной записи пользователя, может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют удаление экземпляра в событии TerminateInstances, а в Azure удаление ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для удаления ВМ. |
---|
ID | DS0020 | Источник и компонент данных | Снапшот: Метаданные снапшота | Описание | Периодически сравнивайте снапшоты со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками. |
---|
ID | DS0025 | Источник и компонент данных | Облачная служба: Метаданные облачной службы | Описание | Отслеживайте увеличение квот во всех регионах, особенно в тех случаях, когда квота увеличивается несколько раз за короткий период или увеличивается в неиспользуемых регионах. Отслеживайте изменения в настройках на уровне тенанта, связанных с подписками и включенными регионами. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Создание экземпляра | Описание | Создание нового экземпляра или виртуальной машины — стандартный элемент работы во многих облачных средах. Поэтому рекомендуется рассматривать события не обособленно, а как элементы цепочки, за которыми могут последовать те или иные дальнейшие действия злоумышленников. Например, создание экземпляра от имени новой учетной записи пользователя или неожиданное создание одного или нескольких снапшотов с последующим созданием экземпляра может указывать на подозрительную активность. В AWS журналы CloudTrail фиксируют создание экземпляра в событии RunInstances, а в Azure создание ВМ может быть зафиксировано в журналах активности Azure . Журналы аудита администратора Google, хранящиеся в аудитах облачных служб, позволяют выявить использование вычислительных экземпляров Google Cloud для создания ВМ. |
---|
ID | DS0034 | Источник и компонент данных | Том: Изменение в томе | Описание | Отслеживайте неожиданное внесение изменений в тома блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0020 | Источник и компонент данных | Снапшот: Изменения в снапшоте | Описание | Собирайте данные об активности компонентов вычислительной инфраструктуры облачных служб в определенных журналах. Отслеживайте подозрительные события, включая монтирование снапшота в новом экземпляре новыми или нетипичными пользователями. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Запуск экземпляра | Описание | Создайте централизованный журнал активности экземпляров, который можно использовать для отслеживания и анализа системных событий даже после возврата к снапшоту, отката изменений или изменения параметров постоянства данных или типа хранилища. Отслеживайте события, связанные с активацией экземпляров, происходящие вне рамок обычных рабочих или плановых процессов. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
ID | DS0030 | Источник и компонент данных | Экземпляр: Метаданные экземпляра | Описание | Периодически сравнивайте экземпляры со стандартными, чтобы обнаружить изменения и дополнения, внесенные злоумышленниками. |
---|
ID | DS0034 | Источник и компонент данных | Том: Создание тома | Описание | Отслеживайте неожиданное создание или несанкционированное наличие томов блочных облачных хранилищ. Чтобы уменьшить количество ложных срабатываний, корректные процедуры контроля изменений можно помечать идентификатором (например, тегом или заголовком), который будет записываться в журналах вместе с изменениями, если это поддерживается поставщиком облачных услуг. Таким образом можно отличать ожидаемые изменения от действий злоумышленников. |
---|
Меры противодействия
ID | M1018 | Название | Управление учетными записями | Описание | Ограничьте права на создание новых инстансов по принципу минимальных привилегий. Организациям следует ограничить количество пользователей с ролью IAM, имеющей привилегии администратора, а также уменьшить количество постоянных привилегированных ролей и периодически проверять пользователей, роли и политики IAM. |
---|
ID | M1047 | Название | Аудит | Описание | Регулярно проверяйте права пользователей, чтобы убедиться, что возможность создавать новые экземпляры имеют только те пользователи, которым это требуется. |
---|